Une importante bibliothèque JavaScript, utilisée par des millions de développeurs, a été piratée pour diffuser des logiciels malveillants. Des acteurs malveillants ont pris le contrôle du compte officiel du package Axios sur la plateforme npm afin de publier des versions frauduleuses.
Cette bibliothèque, qui simplifie les communications HTTP dans les applications JavaScript, est téléchargée plusieurs centaines de millions de fois par mois. Les versions malveillantes, identifiées comme axios@1.14.1 et axios@0.30.4, ont été publiées à la suite du piratage du compte npm du mainteneur principal du projet.
Selon les analyses des sociétés de sécurité Endor Labs, Socket, Aikido et StepSecurity, l’attaquant a ajouté une dépendance malveillante nommée plain-crypto-js@^4.2.1 au fichier de configuration du package. Le code original d’Axios n’a pas été modifié.
Un cheval de Troie multi-plateforme
Lors de l’installation, cette dépendance déclenche un script qui télécharge et exécute un chargeur malveillant. Ce dernier contacte un serveur de commande et contrôle pour récupérer une charge utile adaptée au système d’exploitation de la machine victime.
Dans tous les cas, le malware final donne un contrôle à distance de la machine infectée. L’attaquant peut exécuter des commandes shell et énumérer les répertoires. Une fois l’infection terminée, le chargeur se supprime automatiquement et nettoie les traces pour compléter l’analyse forensique.
Une attaque ciblée et préparée
Les chercheurs estiment que cette attaque n’est pas opportuniste. Sa préparation, incluant le pré-positionnement de la dépendance malveillante 18 heures à l’avance, et la livraison de charges utiles spécifiques à chaque OS, démontrent un plan élaboré. L’identité des pirates reste inconnue.
Bien que des groupes comme TeamPCP aient récemment revendiqué des attaques similaires, les caractéristiques de ce coup ne correspondent pas à leurs modes opératoires habituels.
Les utilisateurs de la bibliothèque Axios sont invités à se cantonner aux dernières versions saines, axios@1.14.0 et axios@0.30.3. En cas de doute sur une compromission, il est recommandé de recréer les environnements de développement à partir d’une source fiable et de renouveler toutes les clés d’accès.