Hackers compromise Axios npm package to drop cross-platform malware
Mis à jour :
Compromission de la chaîne d’approvisionnement : Le paquet npm Axios détourné
Des attaquants ont compromis le compte npm du mainteneur principal de la bibliothèque Axios, permettant la publication de deux versions malveillantes (1.14.1 et 0.30.4). Ces versions intégraient une dépendance infectée, plain-crypto-js, capable d’installer un cheval de Troie d’accès distant (RAT) multiplateforme (Windows, Linux, macOS) avant de s’auto-supprimer pour effacer ses traces.
Points clés :
- Vecteur d’attaque : Compromission du compte npm et du compte GitHub du mainteneur via des méthodes non précisées, permettant l’injection d’un script malveillant.
- Fonctionnement : Utilisation d’un script post-installation pour télécharger des charges utiles adaptées à l’OS cible (VBScript/PowerShell pour Windows, AppleScript pour macOS, Python pour Linux).
- Impact : Installation d’un RAT permettant l’exécution de commandes distantes et la persistance. Les données sensibles (clés, tokens) présentes sur les machines infectées sont considérées comme compromises.
- Attribution potentielle : Des soupçons pointent vers le groupe nord-coréen BlueNoroff, bien que l’attribution formelle reste complexe.
Vulnérabilités :
- Aucune CVE spécifique n’est associée, l’attaque reposant sur l’injection de code malveillant dans le cycle de mise à jour officiel du paquet (supply-chain attack).
Recommandations :
- Audit immédiat : Vérifier l’absence des versions
axios@1.14.1,axios@0.30.4ou de la dépendanceplain-crypto-jsdans vos projets. - Remédiation : Rétrograder Axios vers les versions sécurisées (
1.14.0ou0.30.3). - Sécurisation : Si une version compromise a été utilisée, procéder à une rotation immédiate de tous les secrets, clés API et jetons d’authentification présents sur les systèmes concernés.
- Vigilance : Surveiller les alertes de sécurité liées aux publications de paquets sans commit GitHub correspondant ou sans signature OIDC.