Noqta
écrits/news/2026/03
News31 mars 2026·6 min

Axios compromis sur npm : attaque supply chain déploie un RAT multiplateforme

Des versions malveillantes d'axios (1.14.1 et 0.30.4) ont été publiées sur npm après la compromission du compte du mainteneur principal. L'attaque a injecté un cheval de Troie d'accès à distance via plain-crypto-js. Avec plus de 83M de téléchargements hebdomadaires, c'est l'une des plus grandes attaques supply chain npm.

Équipe Noqta
·EN · FR · AR

URGENT (31 mars 2026) : Deux versions malveillantes d'axios — l'un des packages npm les plus utilisés avec plus de 83 millions de téléchargements hebdomadaires — ont été publiées après qu'un attaquant a compromis le compte du mainteneur principal "jasonsaayman". L'attaque a déployé un cheval de Troie d'accès à distance (RAT) multiplateforme.

Si vous utilisez axios, vérifiez vos lockfiles maintenant. Nous avons créé un outil gratuit de détection et remédiation.

Ce qui s'est passé

Chronologie

  • 30 mars, 05:59 UTC : Publication de plain-crypto-js@4.2.0 (copie propre de staging)
  • 30 mars, 23:59 : Publication de plain-crypto-js@4.2.1 (charge malveillante)
  • 31 mars, ~00:00 : Publication d'axios@1.14.1 avec la dépendance malveillante
  • 31 mars, ~00:39 : Publication d'axios@0.30.4 — seconde branche compromise en 39 minutes
  • 31 mars, ~02:00 : Versions malveillantes retirées de npm

L'attaque était méticuleusement planifiée : la version propre a été déployée 18 heures avant la charge malveillante. Trois payloads OS étaient pré-compilés.

La charge malveillante

La dépendance injectée plain-crypto-js@4.2.1 contient :

  1. macOS : Dropper AppleScript → /Library/Caches/com.apple.act.mond
  2. Windows : Dropper PowerShell → %PROGRAMDATA%\wt.exe
  3. Linux : Dropper shell avec persistance
  4. Communication C2 : Connexion à sfrclak[.]com:8000
  5. Auto-destruction : Le malware s'efface et remplace package.json par une version propre

Score CVSS : 9.3 (Critique)

Versions affectées

PackageCompromisSûr
axios (1.x)1.14.11.14.0 ✅
axios (0.x)0.30.40.30.3 ✅

Comment vérifier

Nous avons créé check-axios-attack — un outil gratuit et open source :

# Scan rapide
curl -fsSL https://noqta.tn/tools/check-axios-attack.sh | bash
 
# Scan et correction automatique
curl -fsSL https://noqta.tn/tools/check-axios-attack.sh | bash -s -- --fix

📖 Guide complet : Comment vérifier et corriger l'attaque Axios

Si vous êtes affecté : actions immédiates

  1. Changez TOUS les secrets — clés API, mots de passe, tokens, certificats
  2. Isolez les machines affectées du réseau
  3. Rétrograder axios : npm install axios@1.14.0
  4. Supprimez la dépendance malveillante : rm -rf node_modules/plain-crypto-js
  5. Réinstallation propre : rm -rf node_modules && npm ci
  6. Auditez les pipelines CI/CD

Prévention

  • Fixez les versions exactes dans package.json
  • Utilisez les lockfiles et installez avec npm ci
  • Activez le 2FA npm sur tous les comptes
  • Utilisez des outils de sécurité supply chain : Socket.dev, Snyk

Sources

FAQ

Axios est-il sûr maintenant ?

Oui — les versions malveillantes ont été retirées. Utilisez 1.14.0 ou 0.30.3.

Mon application frontend est-elle affectée ?

Si votre lockfile a résolu vers axios 1.14.1 ou 0.30.4 pendant la fenêtre d'attaque, oui. Vérifiez vos lockfiles.

Que fait le RAT ?

Il peut exécuter des commandes arbitraires, exfiltrer des données et persister après redémarrage.

Votre infrastructure Node.js est-elle sécurisée ? Noqta propose des audits de sécurité et du conseil DevSecOps pour les projets JavaScript/TypeScript. Contactez-nous.