Mise à jour le 31 mars 2026, 13h28 UTC : Cet article a été mis à jour pour ajouter les commentaires d'Abdelfattah Ibrahim, ingénieur senior en sécurité offensive chez Hacken.
Deux versions malveillantes d'Axios npm ont déclenché des avertissements pour que les développeurs renouvellent leurs identifiants et traitent les systèmes affectés comme compromis après qu'une attaque de la chaîne d'approvisionnement a empoisonné la populaire bibliothèque cliente HTTP JavaScript.
La compromission a d'abord été signalée par la société de cybersécurité Socket, qui a déclaré que [email protected] et [email protected] avaient été modifiées pour intégrer [email protected], une dépendance malveillante qui s'exécutait automatiquement lors de l'installation avant que les versions ne soient retirées de npm.
Selon la société de sécurité OX Security, le code modifié peut donner aux attaquants un accès à distance aux appareils infectés, leur permettant de voler des données sensibles telles que les identifiants de connexion, les clés API et les informations de portefeuille crypto.
L'incident montre comment un seul composant open-source compromis peut potentiellement se propager à travers des milliers d'applications qui en dépendent, exposant non seulement les développeurs mais aussi les plateformes et les utilisateurs connectés au système.
Les sociétés de sécurité recommandent le renouvellement des clés et les audits système
OX Security a averti les développeurs qui ont installé [email protected] ou [email protected] de traiter leurs systèmes comme entièrement compromis et de renouveler immédiatement leurs identifiants, y compris les clés API et les jetons de session.
Socket a déclaré que les versions compromises d'Axios avaient été modifiées pour inclure une dépendance à [email protected], un package publié peu avant l'incident et ultérieurement identifié comme malveillant.
Lié : L'extension de navigateur Trust Wallet mise hors ligne par un « bug » du Chrome Store, selon le PDG
La société a déclaré que la dépendance était configurée pour s'exécuter automatiquement lors de l'installation via un script post-installation, permettant aux attaquants d'exécuter du code sur les systèmes cibles sans interaction supplémentaire de l'utilisateur.
Socket a conseillé aux développeurs d'examiner leurs projets et fichiers de dépendances pour les versions affectées d'Axios et le package [email protected] associé, et de supprimer ou de restaurer immédiatement toute version compromise.
Abdelfattah Ibrahim, ingénieur senior en sécurité offensive chez Hacken, a déclaré à Cointelegraph que la compromission pourrait avoir des implications graves pour les applications liées aux cryptomonnaies qui dépendent d'Axios pour les opérations backend.
« C'est une mauvaise nouvelle pour les dapps et les applications qui traitent des cryptomonnaies car Axios joue un rôle énorme dans les appels API », a-t-il déclaré, notant que les systèmes affectés pourraient inclure les intégrations d'échange, les vérifications de solde de portefeuille et les diffusions de transactions.
Ibrahim a déclaré que le malware déployé dans l'attaque fonctionne comme un cheval de Troie d'accès à distance complet, permettant aux attaquants d'interagir directement avec les systèmes compromis. Il a ajouté que l'incident met en évidence une faiblesse plus large dans la gestion des risques de la chaîne d'approvisionnement.
Les incidents crypto antérieurs soulignent les risques de la chaîne d'approvisionnement
Les incidents crypto antérieurs ont montré comment les violations de la chaîne d'approvisionnement peuvent dégénérer, passant du vol d'informations de développeurs aux pertes de portefeuilles des utilisateurs.
Le 3 janvier, l'enquêteur onchain ZachXBT a signalé que « des centaines » de portefeuilles sur des réseaux compatibles Ethereum Virtual Machine avaient été vidés lors d'une attaque de grande envergure qui a siphonné de petites sommes de chaque victime.
Le chercheur en cybersécurité Vladimir S. a déclaré que l'incident était potentiellement lié à une violation de décembre affectant Trust Wallet, qui a entraîné environ 7 millions de dollars de pertes sur plus de 2 500 portefeuilles.
Trust Wallet a déclaré plus tard que la violation pourrait provenir d'une compromission de la chaîne d'approvisionnement impliquant des packages npm utilisés dans son flux de travail de développement.
Magazine : Personne ne sait si la cryptographie sécurisée quantique fonctionnera même
Source : https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
