Den 31. marts 2026 publicerede nordkoreanske hackere to kompromitterede versioner af axios, en af verdens mest brugte npm-pakker. Mindre end to uger senere måtte OpenAI offentligt rotere sine macOS-signing-certifikater.
Det er den slags hændelse, der afslører, hvor afhængig AI-branchen er af tredjeparts-kode, og hvor forskelligt virksomhederne håndterer supply-chain-risici. Her er, hvad der skete, og hvad det betyder for dig, der bruger AI-værktøjer i din virksomhed.
Hackergruppen UNC1069, som Google Mandiant og Microsoft Threat Intelligence har tilskrevet Nordkoreas Lazarus-gruppe, kompromitterede npm-kontoen tilhørende axios' lead maintainer gennem et målrettet socialt ingeniørangreb. De udgav to ondsindede versioner, 1.14.1 og 0.30.4, der injicerede en skjult dependency kaldet plain-crypto-js. Hele forløbet er dokumenteret i axios' egen post-mortem på GitHub.
Hver gang en udvikler eller et CI/CD-system kørte npm install axios i de tre timer, versionerne lå på registry, installerede de samtidig en Remote Access Trojan. Malwaren ramte Windows, macOS og Linux og gav angriberne fuld adgang til systemet. Axios bruges med cirka 100 millioner ugentlige downloads, så blast radius var enorm.
Pakkerne blev fjernet efter cirka tre timer takket være en axios-collaborator, der reagerede hurtigt. Men de udviklere og systemer, der ramte det tre-timers-vindue, har haft potentielt kompromitterede maskiner siden. Huntress dokumenterede mindst 135 ramte endpoints alene i deres egen kundebase.
OpenAI var den AI-virksomhed, der gik tidligst og mest konkret ud med en redegørelse. Deres GitHub Actions workflow til macOS app-signing downloadede axios 1.14.1 under kompromis-vinduet. Workflowet havde adgang til det certifikat og det notarization-material, der bruges til at signere ChatGPT Desktop, Codex, Codex CLI og Atlas.
OpenAI konkluderede, at certifikatet sandsynligvis ikke blev exfiltreret på grund af timing i deres pipeline, men valgte alligevel at rotere det for en sikkerheds skyld. Alle macOS-brugere skal opdatere deres OpenAI-apps inden 8. maj 2026, eller også stopper de ældre versioner med at virke. Den tekniske redegørelse ligger i OpenAIs officielle incident response.
Håndteringen er lærebogseksemplet på en god respons: hurtig public disclosure, engagement af ekstern forensics-partner, certifikatrotation selv når risikoen er lav, og en rimelig deadline, der giver brugerne tid til at opdatere. Det er ikke perfekt, men det er transparent.
Samme dag, som axios-pakkerne lå på npm, pushede Anthropic ved en fejl en 59,8 MB kildekode-map-fil sammen med Claude Code version 2.1.88. Filen eksponerede cirka 512.000 linjer TypeScript. Inden for timer var kildekoden mirrored på GitHub og forket titusindvis af gange.
Anthropic kaldte det en pakkefejl forårsaget af menneskelig fejl, ikke et sikkerhedsbrud. Det er teknisk korrekt, men det skabte en grim bivirkning. Udviklere, der opdaterede Claude Code via npm mellem 00:21 og 03:29 UTC den 31. marts 2026, kan have pullet den kompromitterede axios-version som transitiv dependency.
Anthropics respons har været pragmatisk. De anbefaler nu den native installer, en curl-baseret standalone binary, frem for npm-pakken, fordi den native installation ikke er afhængig af npm-dependency-kæden. Det er reelt et skifte væk fra en hel distributionsmodel.
For en virksomhed, der markedsfører sig som safety-first, er det en ubehagelig uge. En kongresdemokrat har endda bedt Anthropic offentligt redegøre for deres interne security-praksis efter episoden, særligt fordi Claude bruges i amerikanske nationale sikkerhedsoperationer.
Google Clouds threat intel-enhed (tidligere Mandiant) og Microsoft Threat Intelligence har begge publiceret analyser og attribution. Microsoft tilskriver infrastrukturen til en trusselsaktør, de kalder Sapphire Sleet; Google til UNC1069. Begge peger på samme nordkoreanske klynge. Microsofts mitigation-guide indeholder de konkrete IOC'er, som security-teams skal blokere.
Hverken Google, Gemini-teamet eller Perplexity har meldt konkret kompromittering på grund af axios. Det betyder ikke nødvendigvis, at de slap uden eksponering, for axios er så udbredt, at det ville være overraskende, hvis ingen af deres JS-pipelines havde trukket en inficeret version. Men de har ikke lavet public disclosure.
Det rejser et interessant spørgsmål: Er fraværet af udmelding udtryk for, at de ikke blev ramt, eller at de håndterede det internt uden at informere brugerne? Forskellen er ikke triviel. For virksomheder, der bygger på deres API'er, bør de kende eksponeringsstatus.
Axios-sagen afslører en ubehagelig sandhed. AI-leverandørerne er ikke mere sikre end deres svageste dependency. OpenAI blev ramt. Anthropic fik en sideløbende kildekode-katastrofe. Microsoft var tvunget til at udgive akut guidance. Hele branchen lænede sig op ad en enkelt npm-pakke, som var så populær, at maintaineren blev en oplagt target for statslige aktører.
Samtidig er AI-værktøjerne selv en del af angrebsfladen. Når jeres team installerer Claude Code, Copilot eller andre AI-værktøjer, der kører i developer-miljøet, arver de hele dependency-kæden fra distributionsmetoden. Det er præcis, hvorfor Anthropic nu peger væk fra npm-installation og mod native binaries.
For din virksomhed betyder det tre ting: Pin dependencies til eksakte versioner, brug lock-filer seriøst i CI/CD, og vær opmærksom på, hvordan AI-værktøjer rulles ud til medarbejdere. Shadow AI-problemet, hvor medarbejdere installerer AI-værktøjer uden IT-godkendelse, bliver et supply-chain-problem, hvis de installerer via npm i produktionsmiljøer.
Og mest af alt, følg med. Det næste supply-chain-angreb på AI-værktøjer er ikke et spørgsmål om hvis, men hvornår. Den eneste forsvarsmekanisme, der virker, er hastighed i detection, transparens i respons, og en dependency-management-kultur, der tager tredjepartskode alvorligt.