{"id":14292,"date":"2026-03-31T14:42:30","date_gmt":"2026-03-31T14:42:30","guid":{"rendered":"https:\/\/satoshibrother.com\/fr\/slow-fog-avertit-les-developpeurs-dune-campagne-de-malware-malveillant-ciblant-axios\/"},"modified":"2026-03-31T14:42:30","modified_gmt":"2026-03-31T14:42:30","slug":"slow-fog-avertit-les-developpeurs-dune-campagne-de-malware-malveillant-ciblant-axios","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/fr\/slow-fog-avertit-les-developpeurs-dune-campagne-de-malware-malveillant-ciblant-axios\/","title":{"rendered":"Slow Fog avertit les d\u00e9veloppeurs d’une campagne de malware malveillant ciblant Axios"},"content":{"rendered":"

Alertes de S\u00e9curit\u00e9 concernant Axios et Malware<\/h2>\n

Slow Fog<\/strong> signale la pr\u00e9sence de versions malveillantes d’Axios int\u00e9grant le malware plain-crypto-js<\/strong>, exposant ainsi les d\u00e9veloppeurs de cryptomonnaies \u00e0 des RAT multiplateformes<\/strong> et au vol de donn\u00e9es d’identification via npm. La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 blockchain Slow Fog a \u00e9mis un rappel de s\u00e9curit\u00e9 urgent suite \u00e0 la publication r\u00e9cente des versions [email\u00a0protected]<\/code> et [email\u00a0protected]<\/code>, qui ont int\u00e9gr\u00e9 une d\u00e9pendance malveillante, [email\u00a0protected]<\/code>.<\/p>\n

Cela transforme l’un des clients HTTP les plus utilis\u00e9s de JavaScript en une arme de cha\u00eene d’approvisionnement contre les d\u00e9veloppeurs de cryptomonnaies. Axios enregistre plus de 80 millions de t\u00e9l\u00e9chargements hebdomadaires<\/strong> sur npm, ce qui signifie qu’un compromis, m\u00eame de courte dur\u00e9e, peut avoir des r\u00e9percussions sur les backends de portefeuilles, les bots de trading, les \u00e9changes et l’infrastructure DeFi construite sur Node.js.<\/p>\n

\n

Slow Fog a averti que \u00ab\u00a0les utilisateurs ayant install\u00e9 [email\u00a0protected]<\/code> via npm install -g<\/code> sont potentiellement expos\u00e9s,\u00a0\u00bb recommandant une rotation imm\u00e9diate des identifiants et une enqu\u00eate approfondie c\u00f4t\u00e9 h\u00f4te pour d\u00e9tecter des signes de compromission.<\/p>\n<\/blockquote>\n

Nature de l’Attaque<\/h2>\n

L’attaque repose sur un faux package de cryptographie, [email\u00a0protected]<\/code>, qui est silencieusement ajout\u00e9 comme nouvelle d\u00e9pendance et utilis\u00e9 uniquement pour ex\u00e9cuter un script postinstall obfusqu\u00e9, d\u00e9ployant ainsi un cheval de Troie d’acc\u00e8s \u00e0 distance multiplateforme<\/strong> ciblant les syst\u00e8mes Windows, macOS et Linux.<\/p>\n

\n

La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 StepSecurity a expliqu\u00e9 que \u00ab\u00a0ni la version malveillante ne contient une seule ligne de code malveillant \u00e0 l’int\u00e9rieur d’Axios lui-m\u00eame,\u00a0\u00bb mais que plut\u00f4t \u00ab\u00a0les deux injectent une fausse d\u00e9pendance, [email\u00a0protected]<\/code>, dont le seul but est d’ex\u00e9cuter un script postinstall qui d\u00e9ploie un cheval de Troie d’acc\u00e8s \u00e0 distance multiplateforme (RAT).\u00a0\u00bb<\/p>\n<\/blockquote>\n

L’\u00e9quipe de recherche de Socket a not\u00e9 que le package malveillant plain-crypto-js<\/strong> a \u00e9t\u00e9 publi\u00e9 juste quelques minutes avant la version compromise d’Axios, qualifiant cela d’\u00ab\u00a0attaque coordonn\u00e9e de cha\u00eene d’approvisionnement\u00a0\u00bb<\/strong> contre l’\u00e9cosyst\u00e8me JavaScript.<\/p>\n

Selon StepSecurity, les versions malveillantes d’Axios ont \u00e9t\u00e9 pouss\u00e9es en utilisant des identifiants npm vol\u00e9s appartenant au mainteneur principal \u00ab\u00a0jasonsaayman\u00a0\u00bb<\/strong>, permettant aux attaquants de contourner le flux de publication habituel bas\u00e9 sur GitHub du projet.<\/p>\n

\n

\u00ab\u00a0C’est un compromis de cha\u00eene d’approvisionnement en direct dans [email\u00a0protected]<\/code>, qui d\u00e9pend d\u00e9sormais de [email\u00a0protected]<\/code>\u2014un package publi\u00e9 quelques heures plus t\u00f4t et identifi\u00e9 comme un malware obfusqu\u00e9 qui ex\u00e9cute des commandes shell et efface les traces,\u00a0\u00bb a \u00e9crit l’ing\u00e9nieur en s\u00e9curit\u00e9 Julian Harris sur LinkedIn.<\/p>\n<\/blockquote>\n

Cons\u00e9quences et Recommandations<\/h2>\n

npm a maintenant supprim\u00e9 les versions malveillantes et a r\u00e9tabli la r\u00e9solution d’Axios \u00e0 1.14.0<\/code>, mais tout environnement ayant t\u00e9l\u00e9charg\u00e9 1.14.1<\/code> ou 0.3.4<\/code> pendant la fen\u00eatre d’attaque reste \u00e0 risque jusqu’\u00e0 ce que les secrets soient tourn\u00e9s et que les syst\u00e8mes soient reconstruits.<\/p>\n

Ce compromis fait \u00e9cho \u00e0 des incidents npm ant\u00e9rieurs qui ont directement cibl\u00e9 les utilisateurs de cryptomonnaies, y compris une campagne de 2025 durant laquelle 18 packages populaires comme chalk<\/strong> et debug<\/strong> ont silencieusement \u00e9chang\u00e9 des adresses de portefeuille pour voler des fonds, incitant le CTO de Ledger, Charles Guillemet, \u00e0 avertir que \u00ab\u00a0les packages affect\u00e9s ont d\u00e9j\u00e0 \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s plus de 1 milliard de fois<\/strong>.\u00a0\u00bb<\/p>\n

Les chercheurs ont \u00e9galement document\u00e9 des malwares npm volant des cl\u00e9s de portefeuilles Ethereum, XRP et Solana, et SlowMist a estim\u00e9 que les hacks et fraudes li\u00e9s aux cryptomonnaies \u2014 y compris les packages backdoor et les attaques de cha\u00eene d’approvisionnement assist\u00e9es par l’IA \u2014 ont caus\u00e9 plus de 2,3 milliards de dollars de pertes<\/strong> au cours du premier semestre 2025 seulement.<\/p>\n

Pour l’instant, le conseil de Slow Fog est clair : r\u00e9trogradez Axios \u00e0 1.14.0<\/code>, auditez les d\u00e9pendances pour toute trace de [email\u00a0protected]<\/code> ou openclaw<\/code>, et supposez que tous les identifiants touch\u00e9s par ces environnements sont compromis.<\/p>\n

Dans une pr\u00e9c\u00e9dente histoire de crypto.news sur les attaques de cha\u00eene d’approvisionnement JavaScript, Guillemet de Ledger a averti que les packages npm compromis, avec plus de 2 milliards de t\u00e9l\u00e9chargements hebdomadaires<\/strong>, posaient un risque syst\u00e9mique pour les dApps et les portefeuilles construits sur Node.js.<\/p>\n

Une autre histoire a d\u00e9taill\u00e9 comment le groupe Lazarus de la Cor\u00e9e du Nord a plant\u00e9 des packages npm malveillants pour backdoor les environnements de d\u00e9veloppement et cibler les utilisateurs de portefeuilles Solana et Exodus.<\/p>\n

Une troisi\u00e8me histoire de crypto.news sur les malwares de nouvelle g\u00e9n\u00e9ration a montr\u00e9 comment les attaques de cha\u00eene d’approvisionnement backdoor via npm et des outils d’IA \u00e0 faible co\u00fbt ont aid\u00e9 les criminels \u00e0 contr\u00f4ler \u00e0 distance plus de 4 200 machines<\/strong> de d\u00e9veloppeurs, contribuant ainsi \u00e0 des milliards de dollars de pertes en cryptomonnaies.<\/p>\n","protected":false},"excerpt":{"rendered":"

Alertes de S\u00e9curit\u00e9 concernant Axios et Malware Slow Fog signale la pr\u00e9sence de versions malveillantes d’Axios int\u00e9grant le malware plain-crypto-js, exposant ainsi les d\u00e9veloppeurs de cryptomonnaies \u00e0 des RAT multiplateformes et au vol de donn\u00e9es d’identification via npm. La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 blockchain Slow Fog a \u00e9mis un rappel de s\u00e9curit\u00e9 urgent suite \u00e0 la publication r\u00e9cente des versions [email\u00a0protected] et [email\u00a0protected], qui ont int\u00e9gr\u00e9 une d\u00e9pendance malveillante, [email\u00a0protected]. Cela transforme l’un des clients HTTP les plus utilis\u00e9s de JavaScript en une arme de cha\u00eene d’approvisionnement contre les d\u00e9veloppeurs de cryptomonnaies. Axios enregistre plus de 80 millions de t\u00e9l\u00e9chargements hebdomadaires<\/p>\n","protected":false},"author":3,"featured_media":14291,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[8420,13,200,65,71,1089,72,8,2732,115],"class_list":["post-14292","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-charles-guillemet","tag-ethereum","tag-exodus","tag-hack","tag-lazarus","tag-ledger","tag-north-korea","tag-ripple","tag-slowmist","tag-solana"],"yoast_description":"Slow Fog avertit les d\u00e9veloppeurs d'une campagne de malware malveillant ciblant Axios, exposant les syst\u00e8mes de cryptomonnaie \u00e0 des RAT et au vol de donn\u00e9es d'identification via des packages npm.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/14292","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=14292"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/14292\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/14291"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=14292"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=14292"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=14292"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}