Den 31. marts 2026 publicerede nordkoreanske hackere to kompromitterede versioner af axios, en af verdens mest brugte npm-pakker. Mindre end to uger senere måtte OpenAI offentligt rotere sine macOS-signing-certifikater.
Det er den slags hændelse, der afslører, hvor afhængig AI-branchen er af tredjeparts-kode, og hvor forskelligt virksomhederne håndterer supply-chain-risici. Her er, hvad der skete, og hvad det betyder for dig, der bruger AI-værktøjer i din virksomhed.
Axios-hacket på 90 sekunder
Hackergruppen UNC1069, som Google Mandiant og Microsoft Threat Intelligence har tilskrevet Nordkoreas Lazarus-gruppe, kompromitterede npm-kontoen tilhørende axios' lead maintainer gennem et målrettet socialt ingeniørangreb. De udgav to ondsindede versioner, 1.14.1 og 0.30.4, der injicerede en skjult dependency kaldet plain-crypto-js. Hele forløbet er dokumenteret i axios' egen post-mortem på GitHub.
Hver gang en udvikler eller et CI/CD-system kørte npm install axios i de tre timer, versionerne lå på registry, installerede de samtidig en Remote Access Trojan. Malwaren ramte Windows, macOS og Linux og gav angriberne fuld adgang til systemet. Axios bruges med cirka 100 millioner ugentlige downloads, så blast radius var enorm.
Pakkerne blev fjernet efter cirka tre timer takket være en axios-collaborator, der reagerede hurtigt. Men de udviklere og systemer, der ramte det tre-timers-vindue, har haft potentielt kompromitterede maskiner siden. Huntress dokumenterede mindst 135 ramte endpoints alene i deres egen kundebase.
Vil du følge med i AI-sikkerhed og supply-chain-risici?
Tilmeld dig nyhedsbrevet og få ugens vigtigste AI-nyheder, inklusive breaches og respons fra de store AI-leverandører, direkte i din indbakke.
Var vores virksomhed eksponeret, hvis vi ikke bruger OpenAI?
Ja, potentielt. Axios er en dependency i tusindvis af npm-pakker på tværs af hele JavaScript-økosystemet. Hvis jeres build-pipeline, CI/CD eller udvikler-maskiner kørte npm install mellem 00:21 og 03:29 UTC den 31. marts 2026, skal I tjekke jeres lock-filer for version 1.14.1 eller 0.30.4. Hvis I finder dem, skal alle credentials roteres.
Hvorfor ramte det kun OpenAI og ikke Google eller Anthropic?
Det ramte ikke kun OpenAI. Det ramte alle, der havde axios 1.14.1 eller 0.30.4 installeret. Forskellen er, at OpenAI gik offentligt ud med deres eksponering, fordi deres macOS app-signing-certifikat var i risiko. Google og Anthropic har ikke meldt konkret eksponering, men Anthropic havde deres eget source code-læk samme dag, som skabte overlap-risiko for Claude Code-brugere.
Hvad gør jeg fremadrettet for at mindske supply-chain-risiko?
Pin dine npm-afhængigheder til eksakte versioner. Brug npm ci i CI/CD i stedet for npm install for at respektere lock-filen. Overvej at disable lifecycle-scripts i CI med --ignore-scripts hvor muligt, og flyt hemmeligheder ud af build-miljøer via secrets managers. For AI-værktøjer: brug officielle installere i stedet for npm hvor det er muligt, som Anthropic nu anbefaler for Claude Code.
OpenAI: Direkte ramt, transparent respons
OpenAI var den AI-virksomhed, der gik tidligst og mest konkret ud med en redegørelse. Deres GitHub Actions workflow til macOS app-signing downloadede axios 1.14.1 under kompromis-vinduet. Workflowet havde adgang til det certifikat og det notarization-material, der bruges til at signere ChatGPT Desktop, Codex, Codex CLI og Atlas.
OpenAI konkluderede, at certifikatet sandsynligvis ikke blev exfiltreret på grund af timing i deres pipeline, men valgte alligevel at rotere det for en sikkerheds skyld. Alle macOS-brugere skal opdatere deres OpenAI-apps inden 8. maj 2026, eller også stopper de ældre versioner med at virke. Den tekniske redegørelse ligger i OpenAIs officielle incident response.
Håndteringen er lærebogseksemplet på en god respons: hurtig public disclosure, engagement af ekstern forensics-partner, certifikatrotation selv når risikoen er lav, og en rimelig deadline, der giver brugerne tid til at opdatere. Det er ikke perfekt, men det er transparent.
Anthropic: En perfect storm samme dag
Samme dag, som axios-pakkerne lå på npm, pushede Anthropic ved en fejl en 59,8 MB kildekode-map-fil sammen med Claude Code version 2.1.88. Filen eksponerede cirka 512.000 linjer TypeScript. Inden for timer var kildekoden mirrored på GitHub og forket titusindvis af gange.
Anthropic kaldte det en pakkefejl forårsaget af menneskelig fejl, ikke et sikkerhedsbrud. Det er teknisk korrekt, men det skabte en grim bivirkning. Udviklere, der opdaterede Claude Code via npm mellem 00:21 og 03:29 UTC den 31. marts 2026, kan have pullet den kompromitterede axios-version som transitiv dependency.
Anthropics respons har været pragmatisk. De anbefaler nu den native installer, en curl-baseret standalone binary, frem for npm-pakken, fordi den native installation ikke er afhængig af npm-dependency-kæden. Det er reelt et skifte væk fra en hel distributionsmodel.
For en virksomhed, der markedsfører sig som safety-first, er det en ubehagelig uge. En kongresdemokrat har endda bedt Anthropic offentligt redegøre for deres interne security-praksis efter episoden, særligt fordi Claude bruges i amerikanske nationale sikkerhedsoperationer.
Google, Microsoft og de andre
Google Clouds threat intel-enhed (tidligere Mandiant) og Microsoft Threat Intelligence har begge publiceret analyser og attribution. Microsoft tilskriver infrastrukturen til en trusselsaktør, de kalder Sapphire Sleet; Google til UNC1069. Begge peger på samme nordkoreanske klynge. Microsofts mitigation-guide indeholder de konkrete IOC'er, som security-teams skal blokere.
Hverken Google, Gemini-teamet eller Perplexity har meldt konkret kompromittering på grund af axios. Det betyder ikke nødvendigvis, at de slap uden eksponering, for axios er så udbredt, at det ville være overraskende, hvis ingen af deres JS-pipelines havde trukket en inficeret version. Men de har ikke lavet public disclosure.
Det rejser et interessant spørgsmål: Er fraværet af udmelding udtryk for, at de ikke blev ramt, eller at de håndterede det internt uden at informere brugerne? Forskellen er ikke triviel. For virksomheder, der bygger på deres API'er, bør de kende eksponeringsstatus.
Hvad AI-branchen kan lære
Axios-sagen afslører en ubehagelig sandhed. AI-leverandørerne er ikke mere sikre end deres svageste dependency. OpenAI blev ramt. Anthropic fik en sideløbende kildekode-katastrofe. Microsoft var tvunget til at udgive akut guidance. Hele branchen lænede sig op ad en enkelt npm-pakke, som var så populær, at maintaineren blev en oplagt target for statslige aktører.
Samtidig er AI-værktøjerne selv en del af angrebsfladen. Når jeres team installerer Claude Code, Copilot eller andre AI-værktøjer, der kører i developer-miljøet, arver de hele dependency-kæden fra distributionsmetoden. Det er præcis, hvorfor Anthropic nu peger væk fra npm-installation og mod native binaries.
For din virksomhed betyder det tre ting: Pin dependencies til eksakte versioner, brug lock-filer seriøst i CI/CD, og vær opmærksom på, hvordan AI-værktøjer rulles ud til medarbejdere. Shadow AI-problemet, hvor medarbejdere installerer AI-værktøjer uden IT-godkendelse, bliver et supply-chain-problem, hvis de installerer via npm i produktionsmiljøer.
Og mest af alt, følg med. Det næste supply-chain-angreb på AI-værktøjer er ikke et spørgsmål om hvis, men hvornår. Den eneste forsvarsmekanisme, der virker, er hastighed i detection, transparens i respons, og en dependency-management-kultur, der tager tredjepartskode alvorligt.
Kan du heller ikke følge med nyhedsstrømmen?
Det kan vi godt forstå, for hver uge bringer +20 nyheder! Du kan gøre som 1200+ andre profesionelle og modtage nyhederne direkte i din indbakke.
Blot udfyld formularen og du er med på holdet