Axios compromis sur npm : attaque supply chain déploie un RAT multiplateforme
URGENT (31 mars 2026) : Deux versions malveillantes d'axios — l'un des packages npm les plus utilisés avec plus de 83 millions de téléchargements hebdomadaires — ont été publiées après qu'un attaquant a compromis le compte du mainteneur principal "jasonsaayman". L'attaque a déployé un cheval de Troie d'accès à distance (RAT) multiplateforme.
Si vous utilisez axios, vérifiez vos lockfiles maintenant. Nous avons créé un outil gratuit de détection et remédiation.
Ce qui s'est passé
Chronologie
- 30 mars, 05:59 UTC : Publication de
plain-crypto-js@4.2.0(copie propre de staging) - 30 mars, 23:59 : Publication de
plain-crypto-js@4.2.1(charge malveillante) - 31 mars, ~00:00 : Publication d'
axios@1.14.1avec la dépendance malveillante - 31 mars, ~00:39 : Publication d'
axios@0.30.4— seconde branche compromise en 39 minutes - 31 mars, ~02:00 : Versions malveillantes retirées de npm
L'attaque était méticuleusement planifiée : la version propre a été déployée 18 heures avant la charge malveillante. Trois payloads OS étaient pré-compilés.
La charge malveillante
La dépendance injectée plain-crypto-js@4.2.1 contient :
- macOS : Dropper AppleScript →
/Library/Caches/com.apple.act.mond - Windows : Dropper PowerShell →
%PROGRAMDATA%\wt.exe - Linux : Dropper shell avec persistance
- Communication C2 : Connexion à
sfrclak[.]com:8000 - Auto-destruction : Le malware s'efface et remplace package.json par une version propre
Score CVSS : 9.3 (Critique)
Versions affectées
| Package | Compromis | Sûr |
|---|---|---|
| axios (1.x) | 1.14.1 ❌ | 1.14.0 ✅ |
| axios (0.x) | 0.30.4 ❌ | 0.30.3 ✅ |
Comment vérifier
Nous avons créé check-axios-attack — un outil gratuit et open source :
# Scan rapide
curl -fsSL https://noqta.tn/tools/check-axios-attack.sh | bash
# Scan et correction automatique
curl -fsSL https://noqta.tn/tools/check-axios-attack.sh | bash -s -- --fix📖 Guide complet : Comment vérifier et corriger l'attaque Axios
Si vous êtes affecté : actions immédiates
- Changez TOUS les secrets — clés API, mots de passe, tokens, certificats
- Isolez les machines affectées du réseau
- Rétrograder axios :
npm install axios@1.14.0 - Supprimez la dépendance malveillante :
rm -rf node_modules/plain-crypto-js - Réinstallation propre :
rm -rf node_modules && npm ci - Auditez les pipelines CI/CD
Prévention
- Fixez les versions exactes dans package.json
- Utilisez les lockfiles et installez avec
npm ci - Activez le 2FA npm sur tous les comptes
- Utilisez des outils de sécurité supply chain : Socket.dev, Snyk
Sources
- Socket.dev : Attaque supply chain sur Axios
- TheHackerNews : Attaque Axios
- StepSecurity : Axios compromis sur npm
FAQ
Axios est-il sûr maintenant ?
Oui — les versions malveillantes ont été retirées. Utilisez 1.14.0 ou 0.30.3.
Mon application frontend est-elle affectée ?
Si votre lockfile a résolu vers axios 1.14.1 ou 0.30.4 pendant la fenêtre d'attaque, oui. Vérifiez vos lockfiles.
Que fait le RAT ?
Il peut exécuter des commandes arbitraires, exfiltrer des données et persister après redémarrage.
Votre infrastructure Node.js est-elle sécurisée ? Noqta propose des audits de sécurité et du conseil DevSecOps pour les projets JavaScript/TypeScript. Contactez-nous.
Discutez de votre projet avec nous
Nous sommes ici pour vous aider avec vos besoins en développement Web. Planifiez un appel pour discuter de votre projet et comment nous pouvons vous aider.
Trouvons les meilleures solutions pour vos besoins.