Du kör npm install och allt ser normalt ut. Men under ytan har en angripare redan tagit kontroll över din maskin, stulit dina SSH-nycklar och skickat dina molnuppgifter till en extern server. Hela processen tog 15 sekunder.

Vad hände?

Den 31 mars 2026 publicerades två skadliga versioner av Axios, ett av de mest använda JavaScript-biblioteken för HTTP-anrop. Axios laddas ner cirka 100 miljoner gånger per vecka och finns i ungefär 80 procent av alla molnmiljöer.

En angripare tog över npm-kontot för Axios huvudutvecklare genom att byta den registrerade e-postadressen till en Proton Mail-adress. Därefter publicerades axios@1.14.1 och axios@0.30.4 med ett dolt beroende till paketet plain-crypto-js, en trojaniserad kopia av det populära crypto-js-biblioteket.

När en utvecklare körde npm install aktiverades ett postinstall-script automatiskt. Scriptet kontaktade en extern kommando- och kontrollserver, laddade ner en plattformsspecifik RAT (Remote Access Trojan) för macOS, Windows eller Linux, och raderade sedan alla spår av sig själv.

Hur stort är problemet?

De skadliga versionerna var aktiva i knappt tre timmar innan de togs bort. Men med tanke på Axios enorma spridning hann skadan bli omfattande. Enligt säkerhetsföretaget Wiz observerades exekvering i 3 procent av alla påverkade miljöer.

Angriparen samlade in systemdata, övervakade processer och letade efter känsliga filer som SSH-nycklar, molnuppgifter och .env-filer med API-hemligheter.

Så vet du om du är drabbad

Kontrollera om du har installerat axios@1.14.1 eller axios@0.30.4. Leta efter paketet plain-crypto-js i din node_modules-mapp. Om det finns där har droppern körts.

Sök även efter RAT-artefakter på ditt system: /Library/Caches/com.apple.act.mond (macOS), %PROGRAMDATA%\wt.exe (Windows) eller /tmp/ld.py (Linux).

Vad ska du göra nu?

Om du hittar spår av de skadliga paketen bör du behandla systemet som helt komprometterat. Försök inte städa manuellt. Bygg om från ett känt säkert tillstånd.

Rotera alla uppgifter som fanns tillgängliga på systemet: npm-tokens, AWS-nycklar, SSH-nycklar, molnuppgifter för GCP och Azure, CI/CD-hemligheter och allt som lagrats i .env-filer.

Nedgradera Axios till en säker version (1.14.0 eller 0.30.3), lås versionen och blockera trafik till 142.11.206.73 och sfrclak.com.

Lärdomen för alla organisationer

Den här attacken visar hur sårbar den moderna mjukvarukedjan är. Ett enda komprometterat konto räckte för att nå miljontals utvecklare. Organisationer som inte aktivt övervakar sina beroenden och CI/CD-pipelines riskerar att bli nästa offer.

Vill du veta hur säker din utvecklingsmiljö är? Kontakta BlckIT så hjälper vi dig att kartlägga riskerna.