Mads PedersenNordkoreanske hackere kompromitterede den 31. marts 2026 Axios JavaScript-biblioteket — et af internettets mest anvendte open source-projekter med over 30 millioner downloads om ugen — og injicerede malware, der stjæler login-oplysninger fra alle der bruger det. Angrebet er opdaget af Googles sikkerhedsanalytikere og betegnes som et af de mest vidtrækkende supply chain-angreb i 2026.
Hvad er et supply chain-angreb, og hvorfor er det farligt?
Et supply chain-angreb — på dansk forsyningskædeangreb — er en angrebsform, hvor hackere ikke rammer din virksomhed direkte, men i stedet infiltrerer et software-komponent, du selv bruger. Axios er et JavaScript-bibliotek, som bruges af tusindvis af virksomheder og udviklere verden over til at hente data fra internettet. Det er bygget ind i hjemmesider, virksomhedsapps og interne systemer hos virksomheder i alle størrelser.
Da Nordkorea-tilknyttede hackere fra gruppen UNC1069 infiltrerede Axios' kode, betød det i teorien, at malwaren automatisk blev spredt til alle, der downloaded eller opdaterede biblioteket. Ifølge TechCrunch var angrebet måneder undervejs — hackerne oprettede et falskt firma med realistiske medarbejderprofiler på Slack for at vinde tillid hos Axios' udviklere.
Det er ikke første gang Nordkorea anvender denne strategi. Siden september 2025 har den samme gruppe ifølge The Hacker News spredt over 1.700 ondsindede pakker via populære pakkeindekser som npm, PyPI, Go og Rust — de platforme, millioner af udviklere bruger dagligt til at hente software-komponenter.
Hvem er de nordkoreanske hackere, og hvad vil de?
Nordkoreas statsfinansierede hackergrupper er ikke almindelige kriminelle. De arbejder på vegne af den nordkoreanske stat og har ét primært mål: at finansiere Nordkoreas atomvåbenprogram. Ifølge CSIS (Center for Strategic and International Studies) har nordkoreanske hackere stjålet mindst to milliarder dollars i kryptovaluta i 2025 alene.
Den 1. april 2026 drænet en nordkoreansk operation DeFi-platformen Drift Protocol for 285 millioner dollars i kryptovaluta — det største DeFi-hack i 2026 og næststørste nogensinde på Solana-netværket. Operationen var planlagt i seks måneder og udnyttede social engineering til at infiltrere systemet indefra.
Mønstret er konsistent: Nordkoreanske hackere bruger lang tids forberedelse, sociale manipulationsmetoder og sofistikerede tekniske angreb for at ramme den digitale infrastruktur, som globale virksomheder er afhængige af.
Hvad betyder det for din danske virksomhed?
De fleste danske SMV'er opfatter ikke sig selv som et mål for statsfinansierede hackere. Det er en gefährlig misforståelse. Supply chain-angreb rammer ikke bevidst bestemte virksomheder — de rammer alle, der bruger det kompromitterede software. Det er som en forurenet vandhane: Alle der drikker vandet bliver syge, uanset om de er et mål.
Konkret betyder Axios-angrebet, at enhver virksomhed, der anvender Axios i sine systemer, bør:
Verificere sin afhængighed. Brug en software composition analysis (SCA) tool — eksempler er Snyk, FOSSA eller GitHub Dependabot — til at kortlægge alle open source-komponenter i din kodebase. En IT-konsulent kan hjælpe med dette.
Opdatere software-pakker omgående. Den kompromitterede version af Axios er siden blevet fjernet og erstattet. Men opdateres der ikke aktivt, kan virksomheden stadig anvende en sårbar version.
Implementere code-signing og verificerede builds. Kræv, at alle software-komponenter er signerede og verificerede, inden de integreres i produktionssystemer. Det er teknisk muligt — og mange virksomheder har blot aldrig sat det op.
Gennemgå adgangslogger for perioden. Har din virksomhed brugt Axios i perioden august 2025 til april 2026, bør du gennemgå systemlogger for mistænkelig datatrafik, ukendte login-forsøg og usædvanlige adgangsmønstre.
Den voksende trussel mod nordisk IT-infrastruktur
Center for Cybersikkerhed (CFCS), der er Danmarks nationale cybersikkerhedsmyndighed, har i sin seneste risikovurdering markeret statssponsorerede cyberangreb som en af de primære trusler mod dansk kritisk infrastruktur. Angrebet på Axios er et eksempel på præcis den type trussel — et angreb, der ikke kræver at hackeren ved, hvem du er, for at ramme dig.
Ifølge Center for Cybersikkerhed (CFCS) er opdatering af software og gennemgang af tredjepartsleverandørers sikkerhedspraksis nu en basal hygiejneforanstaltning, ikke et avanceret tiltag. Det anbefales til alle virksomheder — uanset størrelse.
For virksomheder uden intern IT-sikkerhedskompetence er det klogt at søge professionel assistance. En IT-sikkerhedskonsulent kan gennemgå din virksomheds software-afhængigheder, identificere sårbarheder og hjælpe med at implementere de rigtige beskyttelsesforanstaltninger, inden det er for sent.
Hvornår bør du søge ekstern IT-sikkerhedsrådgivning?
Mange virksomheder venter med at investere i IT-sikkerhed, til et angreb er sket. Det er for sent. Her er konkrete situationer, hvor det giver mening at søge ekstern vejledning allerede nu:
- Du bruger open source-software i din produktion — og har ikke et systematisk overblik over, hvilke versioner og komponenter der er i brug.
- Din virksomhed har ingen patch-management politik — dvs. ingen fast procedure for at opdatere software-komponenter regelmæssigt.
- Du har ikke gennemført en sikkerhedsaudit det seneste år — og ved ikke, om din infrastruktur overholder grundlæggende sikkerhedsstandarder.
- Dine medarbejdere modtager uopfordrede kontaktforsøg via Slack, LinkedIn eller Teams fra ukendte konsulenter eller rekrutteringsvirksomheder — det er præcis den metode, UNC1069 bruger til social engineering.
En IT-sikkerhedskonsulent kan hjælpe med at kortlægge dit aktuelle trusselbillede, gennemgå dine systemer og implementere de rette kontroller — uden at du behøver at have en intern CISO (Chief Information Security Officer) ansat.
Nordkoreas hackere er ikke ved at stoppe. Men med de rette forholdsregler kan du sikre, at din virksomhed ikke er det nemme mål i næste angrebskampagne.
OBS: Denne artikel er vejledende og udgør ikke professionel IT-sikkerhedsrådgivning. Kontakt en certificeret IT-sikkerhedsspecialist for en konkret vurdering af din virksomheds sikkerhedsniveau.
