Attacken mot Axios var ingen isolerad händelse. Flera framstående Node.js- och npm-utvecklare bekräftar nu att de utsatts för samma koordinerade social engineering-kampanj. Målet: att få skrivrättigheter till populära open source-paket och plantera skadlig kod som sprids till miljontals användare.

Samma grupp, samma metod

Säkerhetsforskare på Socket.dev och Mandiant har kopplat kampanjen till hotaktören UNC1069. Gruppen använder falska profiler på LinkedIn och Slack för att bygga förtroende med open source-utvecklare. De utger sig för att vara rekryterare, investerare eller andra utvecklare och inleder vad som ser ut som legitima samarbeten.

När förtroendet är etablerat skickar angriparna filer eller länkar som innehåller skadlig kod. Om utvecklaren kör koden på sin maskin får angriparen tillgång till npm-publiceringsuppgifter och kan publicera komprometterade versioner av populära paket.

Axios var bara början

I slutet av mars 2026 lyckades kampanjen kompromittera Axios, ett av de mest använda JavaScript-biblioteken med miljontals nedladdningar per vecka. Angriparna fick tillgång till en maintainers npm-konto och publicerade versioner med en skadlig beroende.

Nu visar det sig att flera andra högt rankade npm-utvecklare har fått liknande kontaktförsök. Enligt Socket.dev handlar det om en skalbar attackmodell som systematiskt riktar sig mot utvecklare med skrivrättigheter till paket med stort genomslag.

Varför open source-utvecklare är måltavlor

En enda komprometterad npm-maintainer kan ge angriparen möjlighet att publicera skadlig kod som automatiskt installeras av tusentals organisationer. Till skillnad från att hitta en sårbarhet i en applikation ger en supply chain-attack tillgång till hela ekosystemet nedströms.

Mandiant dokumenterade i februari 2026 hur UNC1069 tidigare använt samma metod mot kryptovalutaföretag och riskkapitalbolag. Nu har de riktat om fokus mot open source-infrastruktur, där en enda lyckad attack ger exponentiellt större utdelning.

Så skyddar du din organisation

Lås paketversioner i era projekt och använd lockfiler. Granska beroenden regelbundet och övervaka oväntade versionsuppdateringar. Implementera tvåfaktorsautentisering för alla npm-konton i organisationen. Var skeptisk mot oväntade kontaktförsök på LinkedIn eller Slack, särskilt om de involverar fildelning eller kodsamarbeten.

Behöver ni hjälp att säkra er supply chain och granska era beroenden? Kontakta BlckIT så hjälper vi er att bygga en robust försörjningskedja för er mjukvara.