01. April 2026
Erfolgreiche Supply Chain Attacke gegen Axios npm-Pakete
Am 31. März 2026 wurden zwei kompromittierte Versionen der weit verbreiteten JavaScript-Bibliothek Axios (v1.14.1 und v0.30.4) kurzzeitig über den npm-Paketmanager verteilt. Die Pakete enthielten Schadcode, der potenziell betroffene Entwicklermaschinen und Build-Server hätte kompromittieren können.
Unsere Entwickler haben die Lage umgehend analysiert. Für INOSOFT-Projekte und Kundensysteme in unserer Verantwortung besteht nach aktuellem Stand kein Handlungsbedarf. Die infizierten Pakete wurden von npm bereits entfernt; sichere Versionen (v1.14.0 bzw. v0.30.3) stehen bereit.
Kunden, die eigene CI/CD-Pipelines mit Axios-Abhängigkeit betreiben, empfehlen wir eine Prüfung der verwendeten Versionen. Wir stehen bei Fragen gerne zur Verfügung.