La bibliothèque Axios victime d'une attaque par chaîne d'approvisionnement, les hackers utilisant un jeton npm volé pour implanter un cheval de Troie à distance, affectant environ 80 % des environnements cloud

Deep Tide TechFlow, le 02 avril, selon VentureBeat, des attaquants ont dérobé le jeton d’accès npm du principal mainteneur de la bibliothèque JavaScript HTTP la plus populaire, Axios, et ont utilisé ce jeton pour publier deux versions malveillantes contenant des chevaux de Troie d’accès à distance (RAT) multiplateformes (axios@1.14.1 et axios@0.30.4), visant à couvrir les systèmes macOS, Windows et Linux. Les paquets malveillants ont été supprimés après environ 3 heures de présence sur le registre npm.

D’après les données de la société de sécurité Wiz, Axios compte plus de 100 millions de téléchargements par semaine et est présent dans environ 80 % des environnements cloud et de code. La société de sécurité Huntress a détecté les premiers cas d’infection 89 secondes après la mise en ligne des paquets malveillants, et a confirmé, pendant la fenêtre d’exposition, qu’au moins 135 systèmes ont été compromis.

Il est à noter que le projet Axios avait auparavant déployé des mesures de sécurité modernes telles que un mécanisme de publication de confiance via OIDC et des preuves de traçabilité SLSA, mais les attaquants ont totalement contourné ces défenses. L’enquête a révélé que le projet, tout en configurant l’OIDC, conserve encore un NPM_TOKEN traditionnel à validité longue. Or, lorsque les deux sont en coexistence, npm donne par défaut la priorité au jeton traditionnel, ce qui permet aux attaquants de publier sans avoir à contourner l’OIDC.