Alertes de Sécurité concernant Axios et Malware
Slow Fog signale la présence de versions malveillantes d’Axios intégrant le malware plain-crypto-js, exposant ainsi les développeurs de cryptomonnaies à des RAT multiplateformes et au vol de données d’identification via npm. La société de sécurité blockchain Slow Fog a émis un rappel de sécurité urgent suite à la publication récente des versions [email protected] et [email protected], qui ont intégré une dépendance malveillante, [email protected].
Cela transforme l’un des clients HTTP les plus utilisés de JavaScript en une arme de chaîne d’approvisionnement contre les développeurs de cryptomonnaies. Axios enregistre plus de 80 millions de téléchargements hebdomadaires sur npm, ce qui signifie qu’un compromis, même de courte durée, peut avoir des répercussions sur les backends de portefeuilles, les bots de trading, les échanges et l’infrastructure DeFi construite sur Node.js.
Slow Fog a averti que « les utilisateurs ayant installé
[email protected]vianpm install -gsont potentiellement exposés, » recommandant une rotation immédiate des identifiants et une enquête approfondie côté hôte pour détecter des signes de compromission.
Nature de l’Attaque
L’attaque repose sur un faux package de cryptographie, [email protected], qui est silencieusement ajouté comme nouvelle dépendance et utilisé uniquement pour exécuter un script postinstall obfusqué, déployant ainsi un cheval de Troie d’accès à distance multiplateforme ciblant les systèmes Windows, macOS et Linux.
La société de sécurité StepSecurity a expliqué que « ni la version malveillante ne contient une seule ligne de code malveillant à l’intérieur d’Axios lui-même, » mais que plutôt « les deux injectent une fausse dépendance,
[email protected], dont le seul but est d’exécuter un script postinstall qui déploie un cheval de Troie d’accès à distance multiplateforme (RAT). »
L’équipe de recherche de Socket a noté que le package malveillant plain-crypto-js a été publié juste quelques minutes avant la version compromise d’Axios, qualifiant cela d’« attaque coordonnée de chaîne d’approvisionnement » contre l’écosystème JavaScript.
Selon StepSecurity, les versions malveillantes d’Axios ont été poussées en utilisant des identifiants npm volés appartenant au mainteneur principal « jasonsaayman », permettant aux attaquants de contourner le flux de publication habituel basé sur GitHub du projet.
« C’est un compromis de chaîne d’approvisionnement en direct dans
[email protected], qui dépend désormais de[email protected]—un package publié quelques heures plus tôt et identifié comme un malware obfusqué qui exécute des commandes shell et efface les traces, » a écrit l’ingénieur en sécurité Julian Harris sur LinkedIn.
Conséquences et Recommandations
npm a maintenant supprimé les versions malveillantes et a rétabli la résolution d’Axios à 1.14.0, mais tout environnement ayant téléchargé 1.14.1 ou 0.3.4 pendant la fenêtre d’attaque reste à risque jusqu’à ce que les secrets soient tournés et que les systèmes soient reconstruits.
Ce compromis fait écho à des incidents npm antérieurs qui ont directement ciblé les utilisateurs de cryptomonnaies, y compris une campagne de 2025 durant laquelle 18 packages populaires comme chalk et debug ont silencieusement échangé des adresses de portefeuille pour voler des fonds, incitant le CTO de Ledger, Charles Guillemet, à avertir que « les packages affectés ont déjà été téléchargés plus de 1 milliard de fois. »
Les chercheurs ont également documenté des malwares npm volant des clés de portefeuilles Ethereum, XRP et Solana, et SlowMist a estimé que les hacks et fraudes liés aux cryptomonnaies — y compris les packages backdoor et les attaques de chaîne d’approvisionnement assistées par l’IA — ont causé plus de 2,3 milliards de dollars de pertes au cours du premier semestre 2025 seulement.
Pour l’instant, le conseil de Slow Fog est clair : rétrogradez Axios à 1.14.0, auditez les dépendances pour toute trace de [email protected] ou openclaw, et supposez que tous les identifiants touchés par ces environnements sont compromis.
Dans une précédente histoire de crypto.news sur les attaques de chaîne d’approvisionnement JavaScript, Guillemet de Ledger a averti que les packages npm compromis, avec plus de 2 milliards de téléchargements hebdomadaires, posaient un risque systémique pour les dApps et les portefeuilles construits sur Node.js.
Une autre histoire a détaillé comment le groupe Lazarus de la Corée du Nord a planté des packages npm malveillants pour backdoor les environnements de développement et cibler les utilisateurs de portefeuilles Solana et Exodus.
Une troisième histoire de crypto.news sur les malwares de nouvelle génération a montré comment les attaques de chaîne d’approvisionnement backdoor via npm et des outils d’IA à faible coût ont aidé les criminels à contrôler à distance plus de 4 200 machines de développeurs, contribuant ainsi à des milliards de dollars de pertes en cryptomonnaies.
