Axios Trojaner & Claude Code Leak
Am 31. März 2026 kam es innerhalb weniger Stunden zu zwei schwerwiegenden Vorfällen im npm-Ökosystem.
Ein kompromittiertes Paket (Axios) verteilte einen Remote-Access-Trojaner (RAT), während gleichzeitig durch einen Konfigurationsfehler der Quellcode von Claude Code öffentlich zugänglich wurde.
Beide Fälle zeigen deutlich:
Die grössten Risiken liegen heute nicht mehr im Code selbst, sondern in der Software-Lieferkette (Supply Chain).
Kompromittiertes npm-Paket
Am 31. März wurde der npm-Account eines Maintainers kompromittiert.
Daraufhin wurden manipulierte Versionen des weit verbreiteten HTTP-Clients Axios veröffentlicht.
| Branch | Kompromittiert | Sicher |
|---|---|---|
| latest | 1.14.1 | 1.14.0 |
| legacy | 0.30.4 | 0.30.3 |
Die manipulierten Versionen waren etwa 3 Stunden öffentlich verfügbar.
Die Angreifer haben den eigentlichen Code nicht verändert.
Stattdessen wurde eine zusätzliche Abhängigkeit in der package.json eingefügt.
Ablauf der Attacke:
postinstall-ScriptBesonders kritisch:
Der Schadcode war nicht im eigentlichen Projektcode sichtbar.
Unsichtbare Gefahr
Diese Art Angriff wird als Phantom Dependency bezeichnet.
Merkmale:
Klassische Code-Reviews erkennen diese Bedrohung nicht.
Wenn die betroffenen Versionen installiert wurden:
Das System gilt als kompromittiert
Empfohlene Massnahmen:
package-lock.json / yarn.lockVollständiger Quellcode öffentlich zugänglich
Parallel zum Axios-Vorfall wurde ein weiterer kritischer Zwischenfall bekannt, der jedoch nicht durch einen Angriff, sondern durch einen internen Fehler verursacht wurde.
Ein npm-Paket von Anthropic enthielt versehentlich eine sogenannte Source-Map-Datei (.map), über die sich der vollständige Quellcode rekonstruieren liess.
Mit der Veröffentlichung der Version@anthropic-ai/claude-code@2.1.88 wurde eine Datei mitgeliefert, die eigentlich nur für Debugging-Zwecke gedacht ist.
Diese Datei:
Ergebnis:
Der komplette Code des AI-Tools war innerhalb kürzester Zeit öffentlich verfügbar.
Über die Source Map konnten rekonstruiert werden:
Für ein proprietäres AI-System ist dies ein massiver Verlust an geistigem Eigentum.
Fehler im Build-Prozess
Der Vorfall wurde durch eine einfache, aber kritische Fehlkonfiguration verursacht:
.npmignore bzw. Build-Filter fehlten oder waren unvollständigKein Hack. Kein Angriff.
Nur ein Fehler im Deployment-Prozess.
Die Reaktion der Community erfolgte innerhalb kürzester Zeit:
Versuche, den Code über DMCA-Anfragen zu entfernen, konnten die Verbreitung nicht stoppen.
Schnelle Nachbildung des Systems
Innerhalb weniger Stunden entstand eine sogenannte Clean-Room-Implementierung:
Dadurch entstand faktisch eine freie Alternative zu einem proprietären System
counter_1
counter_2
Die beiden Vorfälle zeigen klar:
Moderne Angriffe zielen nicht auf Server, sondern auf die Lieferkette.
Komplette IT-Betreuung für Unternehmen und Zuhause – sicher, stabil und persönlich.
