Axios npm piraté : changez vos clés API immédiatement

• Des alertes de sécurité ont été émises pour la bibliothèque cliente HTTP JavaScript Axios à la suite d'une attaque de la chaîne d'approvisionnement.
• Les versions 1.14.1 et 0.30.4 d'Axios ont été identifiées comme compromises et contenant du code malveillant.
• Les développeurs et les utilisateurs sont instamment priés de renouveler immédiatement toutes les clés API, les identifiants de connexion et les jetons de session utilisés dans les environnements concernés.

Découverte des versions malveillantes

Les sociétés de cybersécurité Socket et OX Security ont récemment signalé deux versions compromises du package npm Axios, largement utilisé. Les versions en question, axios@1.14.1 et axios@0.30.4, ont été modifiées pour inclure une dépendance malveillante nommée plain-crypto-js@4.2.1. Cette dépendance a été publiée peu de temps avant l'attaque et a été conçue pour s'exécuter automatiquement pendant le processus d'installation via un script post-installation.

Selon OX Security, le code altéré permet aux attaquants d'accéder à distance aux appareils infectés. Cet accès non autorisé permet le vol de données sensibles, notamment :

• Les identifiants de connexion et les jetons de session
• Les clés API utilisées pour divers services
• Les informations relatives aux portefeuilles de crypto-monnaies

Impact et recommandations pour les développeurs

Cet incident met en évidence la vulnérabilité de l'écosystème open-source, où un seul composant compromis peut impacter des milliers d'applications en aval. Socket a souligné que, puisque le script malveillant s'exécute sans intervention de l'utilisateur, tout système ayant téléchargé ces versions spécifiques d'Axios doit être considéré comme entièrement compromis.

Les experts en sécurité recommandent aux développeurs d'examiner immédiatement les fichiers de dépendances de leurs projets. Si les versions concernées sont trouvées, elles doivent être supprimées ou remplacées par une version sécurisée connue. De plus, tous les identifiants stockés sur ces systèmes ou accessibles par ceux-ci doivent être modifiés pour éviter toute exploitation ultérieure.

Historique des vulnérabilités de la chaîne d'approvisionnement

Cette faille s'inscrit dans un schéma d'attaques de la chaîne d'approvisionnement ciblant le secteur des crypto-monnaies. Le 3 janvier, l'enquêteur on-chain ZachXBT a rapporté que des centaines de portefeuilles sur des réseaux compatibles avec l'Ethereum Virtual Machine (EVM) avaient été vidés. Des chercheurs comme Vladimir S. ont suggéré que ces incidents pourraient être liés à une faille survenue en décembre impliquant Trust Wallet.

Cette précédente compromission, qui a entraîné des pertes d'environ 7 millions de dollars sur plus de 2 500 portefeuilles, était également attribuée à un problème de chaîne d'approvisionnement impliquant des packages npm. Ces événements soulignent la nécessité cruciale d'audits de sécurité rigoureux pour les bibliothèques tierces utilisées dans les applications financières et blockchain.