Des signaux d’alerte émis par Slow Fog concernant des versions malveillantes d’axios qui récupèrent un malware simple-crypto-js, exposant les développeurs crypto à des RATs (outils d’accès à distance) multi-plateformes et à des identifiants volés via npm.

Résumé

• Slow Fog signale [email protected] et [email protected] comme malveillants après un compromis du compte d’un mainteneur.
• Le package injecté [email protected] dépose un cheval de Troie d’accès à distance multi-plateforme via des scripts postinstall.
• Les développeurs utilisant [email protected] sont invités à faire pivoter (rotater) leurs identifiants et à inspecter les hôtes, pendant que npm annule le retour de axios vers 1.14.0.

L’entreprise de sécurité blockchain Slow Fog a publié un rappel de sécurité urgent après que les versions nouvellement publiées [email protected] et [email protected] ont inclus une dépendance malveillante, [email protected], transformant l’un des clients HTTP les plus largement utilisés en un outil d’attaque de la chaîne d’approvisionnement contre les développeurs crypto. Axios enregistre plus de 80 millions de téléchargements hebdomadaires sur npm : même un compromis de courte durée peut se propager aux backends de portefeuilles, aux bots de trading, aux exchanges et à l’infrastructure DeFi construite sur Node.js. Dans son avis, Slow Fog a averti que « les utilisateurs ayant installé [email protected] via npm install -g sont potentiellement exposés », recommandant une rotation immédiate des identifiants et une enquête approfondie côté hôte pour détecter tout signe de compromission.

L’attaque repose sur un faux package de cryptographie, [email protected], qui est ajouté silencieusement en tant que nouvelle dépendance et utilisé uniquement pour exécuter un script postinstall obfusqué qui dépose un cheval de Troie d’accès à distance multi-plateforme ciblant les systèmes Windows, macOS et Linux.

L’entreprise de sécurité StepSecurity a expliqué que « ni la version malveillante ne contient une seule ligne de code malveillant à l’intérieur même d’Axios », et que « au contraire, les deux injectent une fausse dépendance, [email protected], dont le seul objectif est d’exécuter un script postinstall qui déploie un cheval de Troie d’accès à distance multi-plateforme (RAT) ». L’équipe de recherche de Socket a noté que le package malveillant plain-crypto-js a été publié quelques minutes seulement avant la version compromise d’axios, le qualifiant de « cyberattaque coordonnée de la chaîne d’approvisionnement » contre l’écosystème JavaScript.

Compte de mainteneur axios piraté

Selon StepSecurity, les versions malveillantes d’axios ont été poussées à l’aide d’identifiants npm volés appartenant au principal mainteneur « jasonsaayman », permettant aux attaquants de contourner le processus habituel de publication basé sur GitHub du projet. « C’est un compromis vivant de la chaîne d’approvisionnement dans [email protected], qui dépend désormais de [email protected] — un package publié des heures plus tôt et identifié comme un malware obfusqué qui exécute des commandes shell et efface les traces », a écrit l’ingénieur sécurité Julian Harris sur LinkedIn. npm a désormais supprimé les versions malveillantes et a rétabli la résolution d’axios vers 1.14.0, mais tout environnement ayant récupéré 1.14.1 ou 0.3.4 pendant la fenêtre d’attaque reste exposé jusqu’à ce que les secrets soient ré-rotés et que les systèmes soient reconstruits.

La compromission fait écho à des incidents npm antérieurs qui ciblaient directement les utilisateurs crypto, notamment une campagne en 2025 dans laquelle 18 packages populaires comme chalk et debug ont échangé silencieusement des adresses de portefeuilles pour voler des fonds, amenant le CTO de Ledger Charles Guillemet à avertir que « les packages concernés ont déjà été téléchargés plus d’un milliard de fois ». Des chercheurs ont aussi documenté des malwares npm volant des clés à partir de portefeuilles Ethereum, XRP et Solana, et SlowMist a estimé que les hacks et fraudes crypto — y compris des packages injectés (backdoor) et des attaques de chaîne d’approvisionnement assistées par IA — ont causé plus de 2,3 milliards de dollars de pertes rien que sur le premier semestre 2025. Pour l’heure, le conseil de Slow Fog est sans ambiguïté : rétrograder axios vers 1.14.0, auditer les dépendances pour tout indice de [email protected] ou openclaw, et supposer que tout identifiant ayant été touché par ces environnements est compromis.

Avertissements précédents sur la chaîne d’approvisionnement logicielle

Dans une histoire précédente de crypto.news sur les attaques de chaîne d’approvisionnement JavaScript, Guillemet de Ledger a averti que des packages npm compromis comptant plus de 2 milliards de téléchargements hebdomadaires constituaient un risque systémique pour les dApps et portefeuilles construits sur Node.js. Une autre histoire détaillait comment le groupe Lazarus de Corée du Nord a implanté des packages npm malveillants pour backdoor des environnements de développeurs et cibler des utilisateurs de portefeuilles Solana et Exodus. Une troisième histoire de crypto.news sur un malware de prochaine génération montrait comment les attaques par backdoor via la chaîne d’approvisionnement, en utilisant npm et des outils IA à faible coût, ont aidé les criminels à contrôler à distance plus de 4 200 machines de développeurs et ont contribué à des pertes de plusieurs milliards de dollars en crypto.