La bibliothèque Axios fait l’objet d’une attaque de la chaîne d’approvisionnement : des pirates volent des jetons npm et y injectent un cheval de Troie, touchant environ 80 % des environnements cloud

Nouvelles de la Gate, le 2 avril, la bibliothèque de client HTTP la plus populaire en JavaScript, Axios, a fait l’objet d’une attaque de chaîne d’approvisionnement. Les attaquants ont dérobé le jeton d’accès npm du mainteneur en chef d’Axios et l’ont utilisé pour publier deux versions malveillantes contenant un cheval de Troie d’accès à distance (RAT) multiplateforme (axios@1.14.1 et axios@0.30.4), ciblant les systèmes macOS, Windows et Linux. Les paquets malveillants sont restés environ 3 heures sur le registre npm avant d’être supprimés. D’après les données de la société de sécurité Wiz, Axios est téléchargé plus de 100 millions de fois par semaine et est présent dans environ 80 % des environnements cloud et de code. La société de sécurité Huntress a détecté les premiers cas d’infection 89 secondes après la mise en ligne des paquets malveillants, et a confirmé, durant la fenêtre d’exposition, au moins 135 systèmes compromis. Il est à noter que le projet Axios avait auparavant déployé des mesures de sécurité modernes, comme un mécanisme de publication fiable OIDC et des preuves de traçabilité SLSA, mais les attaquants ont entièrement contourné ces dispositifs. L’enquête a révélé que, tout en configurant l’OIDC, le projet conservait malgré tout un NPM_TOKEN traditionnel à validité prolongée, et qu’au moment où les deux coexistent, npm donne par défaut la priorité au jeton traditionnel, ce qui a permis aux attaquants de publier sans avoir à contourner l’OIDC.