Vertrauen ist gut, SBOM ist besser: Was wir aus dem axios-Incident lernen
Der jüngste Vorfall um die JavaScript-Bibliothek axios ist kein gewöhnlicher Software-Bug. Es ist eine Machtdemonstration im Bereich der Supply-Chain-Angriffe. Wenn ein npm-Paket mit über 100 Millionen wöchentlichen Downloads kompromittiert wird, wackelt das Fundament, auf dem zahllose Web-Applikationen, Cloud-Services und Verwaltungssysteme stehen. Anatomie einer viereinhalbstündigen Krise Am 30. März 2026 gelang es Angreifern, den Account eines Hauptentwicklers zu kapern. Das Ergebnis: Die Versionen 1.14.1 und 0.30.4 wurden mit einer versteckten, maliziösen Abhängigkeit (plain-crypto-js) infiziert. Das Ziel war die Installation eines…