Une cyberattaque sophistiquée a révélé une vulnérabilité critique dans le registre des packages JavaScript npm, permettant aux pirates informatiques d’injecter du code malveillant dans la bibliothèque client HTTP « axios » largement utilisée. Les versions compromises, brièvement actives pendant trois heures, contenaient un cheval de Troie d’accès à distance (RAT) multiplateforme ciblant les systèmes macOS, Windows et Linux. Cet incident met en évidence une faille fondamentale dans la chaîne d’approvisionnement des logiciels, où les méthodes d’authentification obsolètes compromettent même les mesures de sécurité les plus avancées.
L’attaque : ciblage précis d’une dépendance fondamentale
Les attaquants ont exploité un jeton d’accès npm de longue durée appartenant à un responsable principal d’axios, contournant les protocoles de sécurité modernes tels que les attestations de provenance GitHub Actions CI/CD et SLSA. Les packages malveillants, [email protected] et [email protected], ont déployé une dépendance cachée ([email protected] ) qui exécute un script de post-installation, installant silencieusement le RAT sur les machines des développeurs. Les attaquants ont organisé l’attaque en publiant d’abord une version propre de la dépendance malveillante pour établir la crédibilité avant de déployer la version militarisée.
Cette violation est particulièrement préoccupante étant donné que « axios » alimente environ 80 % des environnements cloud et de code, y compris les frontaux React, les pipelines CI/CD et les fonctions sans serveur. Wiz rapporte que plus de 100 millions de téléchargements par semaine dépendent de cette bibliothèque, ce qui signifie que la portée potentielle de l’attaque est énorme. Huntress a détecté les premières infections 89 secondes seulement après la mise en ligne des packages malveillants, avec au moins 135 systèmes compromis identifiés parmi ses clients.
Modèle récurrent : la compromission des informations d’identification reste la principale faiblesse
Cet incident marque le troisième compromis majeur dans la chaîne d’approvisionnement du NPM en sept mois, tous résultant du vol des informations d’identification du responsable. Malgré les efforts déployés à l’échelle de l’industrie pour renforcer l’écosystème après l’apparition du ver Shai-Hulud en 2025 et les vulnérabilités ultérieures découvertes par Koi Security, le problème fondamental demeure : les comptes individuels des responsables restent le maillon le plus faible.
Les attaquants ont contourné la pile de sécurité du projet en exploitant le fait que npm utilise par défaut des jetons classiques de longue durée si les jetons OIDC et hérités sont présents. Cela signifie que même avec des mécanismes d’authentification modernes en place, un identifiant obsolète peut les remplacer silencieusement. Comme l’explique Merritt Baer, CSO chez Enkrypt AI et ancien RSSI adjoint chez AWS : « Les contrôles modernes sont déployés, mais si les jetons ou les clés hérités ne sont pas retirés, le système les favorise discrètement. »
Étapes immédiates pour les organisations
Les organisations utilisant Node.js doivent traiter cela comme un incident actif jusqu’à ce que des systèmes propres soient confirmés. La fenêtre d’exposition a diminué pendant les heures de pointe de développement, et les pipelines CI/CD peuvent avoir automatiquement extrait les versions compromises.
Les étapes suivantes sont cruciales :
- Vérifiez l’exposition : Recherchez dans les fichiers de verrouillage et les journaux CI les versions malveillantes d’axios (
1.14.1,0.30.4) ou la dépendance cachée (plain-crypto-js). - Épingler les dépendances : Épingler immédiatement aux versions connues (
[email protected]ou[email protected]). - Assume un compromis : Reconstruisez les machines concernées à partir d’un état connu et faites pivoter toutes les informations d’identification accessibles (jetons npm, clés AWS, clés SSH, secrets CI/CD).
- Bloquer la commande et le contrôle : Ajoutez « sfrclak.com » et « 142.11.206.73 » aux listes de blocage DNS et aux règles de pare-feu.
- Rechercher les artefacts : Recherchez les artefacts RAT sur les systèmes concernés (voir l’article d’origine pour les emplacements spécifiques au système d’exploitation).
Le plus gros problème : l’écart en matière d’informations d’identification reste ouvert
La faille « axios » souligne une faille critique dans la chaîne d’approvisionnement des logiciels : la dépendance à l’égard des comptes individuels des responsables comme point d’ancrage ultime de la confiance. Malgré les efforts du secteur pour améliorer la sécurité, la compromission des informations d’identification reste le principal vecteur d’attaque. Jusqu’à ce que npm applique l’attestation de provenance obligatoire ou la signature multipartite, l’écosystème restera vulnérable.
Comme le conclut Baer, « la compromission des informations d’identification est le thème récurrent des violations de NPM… Nous atténuons les risques. Nous ne les éliminons pas. » Le responsable d’axios a suivi les meilleures pratiques, mais un jeton hérité a sapé tous ces efforts. Le problème fondamental ne concerne pas seulement les mots de passe faibles ; il s’agit d’une faille structurelle dans laquelle les méthodes d’authentification obsolètes remplacent silencieusement les mesures de sécurité modernes.
