Axios compromis sur npm : attaque supply chain déploie un RAT multiplateforme

URGENT (31 mars 2026) : Deux versions malveillantes d'axios — l'un des packages npm les plus utilisés avec plus de 83 millions de téléchargements hebdomadaires — ont été publiées après qu'un attaquant a compromis le compte du mainteneur principal "jasonsaayman". L'attaque a déployé un cheval de Troie d'accès à distance (RAT) multiplateforme.

Si vous utilisez axios, vérifiez vos lockfiles maintenant. Nous avons créé un outil gratuit de détection et remédiation.

Ce qui s'est passé

Chronologie

30 mars, 05:59 UTC : Publication de plain-crypto-js@4.2.0 (copie propre de staging)
30 mars, 23:59 : Publication de plain-crypto-js@4.2.1 (charge malveillante)
31 mars, ~00:00 : Publication d'axios@1.14.1 avec la dépendance malveillante
31 mars, ~00:39 : Publication d'axios@0.30.4 — seconde branche compromise en 39 minutes
31 mars, ~02:00 : Versions malveillantes retirées de npm

L'attaque était méticuleusement planifiée : la version propre a été déployée 18 heures avant la charge malveillante. Trois payloads OS étaient pré-compilés.

La charge malveillante

La dépendance injectée plain-crypto-js@4.2.1 contient :

macOS : Dropper AppleScript → /Library/Caches/com.apple.act.mond
Windows : Dropper PowerShell → %PROGRAMDATA%\wt.exe
Linux : Dropper shell avec persistance
Communication C2 : Connexion à sfrclak[.]com:8000
Auto-destruction : Le malware s'efface et remplace package.json par une version propre

Score CVSS : 9.3 (Critique)

Versions affectées

Package	Compromis	Sûr
axios (1.x)	1.14.1 ❌	1.14.0 ✅
axios (0.x)	0.30.4 ❌	0.30.3 ✅

Comment vérifier

Nous avons créé check-axios-attack — un outil gratuit et open source :

# Scan rapide
curl -fsSL https://noqta.tn/tools/check-axios-attack.sh | bash
 
# Scan et correction automatique
curl -fsSL https://noqta.tn/tools/check-axios-attack.sh | bash -s -- --fix

📖 Guide complet : Comment vérifier et corriger l'attaque Axios

Si vous êtes affecté : actions immédiates

Changez TOUS les secrets — clés API, mots de passe, tokens, certificats
Isolez les machines affectées du réseau
Rétrograder axios : npm install axios@1.14.0
Supprimez la dépendance malveillante : rm -rf node_modules/plain-crypto-js
Réinstallation propre : rm -rf node_modules && npm ci
Auditez les pipelines CI/CD

Prévention

Fixez les versions exactes dans package.json
Utilisez les lockfiles et installez avec npm ci
Activez le 2FA npm sur tous les comptes
Utilisez des outils de sécurité supply chain : Socket.dev, Snyk

Sources

FAQ

Axios est-il sûr maintenant ?

Oui — les versions malveillantes ont été retirées. Utilisez 1.14.0 ou 0.30.3.

Mon application frontend est-elle affectée ?

Si votre lockfile a résolu vers axios 1.14.1 ou 0.30.4 pendant la fenêtre d'attaque, oui. Vérifiez vos lockfiles.

Que fait le RAT ?

Il peut exécuter des commandes arbitraires, exfiltrer des données et persister après redémarrage.

Votre infrastructure Node.js est-elle sécurisée ? Noqta propose des audits de sécurité et du conseil DevSecOps pour les projets JavaScript/TypeScript. Contactez-nous.

Si vous utilisez axios, vérifiez vos lockfiles maintenant. Nous avons créé un outil gratuit de détection et remédiation.

Ce qui s'est passé

Chronologie

30 mars, 05:59 UTC : Publication de plain-crypto-js@4.2.0 (copie propre de staging)
30 mars, 23:59 : Publication de plain-crypto-js@4.2.1 (charge malveillante)
31 mars, ~00:00 : Publication d'axios@1.14.1 avec la dépendance malveillante
31 mars, ~00:39 : Publication d'axios@0.30.4 — seconde branche compromise en 39 minutes
31 mars, ~02:00 : Versions malveillantes retirées de npm

L'attaque était méticuleusement planifiée : la version propre a été déployée 18 heures avant la charge malveillante. Trois payloads OS étaient pré-compilés.

La charge malveillante

La dépendance injectée plain-crypto-js@4.2.1 contient :

macOS : Dropper AppleScript → /Library/Caches/com.apple.act.mond
Windows : Dropper PowerShell → %PROGRAMDATA%\wt.exe
Linux : Dropper shell avec persistance
Communication C2 : Connexion à sfrclak[.]com:8000
Auto-destruction : Le malware s'efface et remplace package.json par une version propre

Score CVSS : 9.3 (Critique)

Versions affectées

Package	Compromis	Sûr
axios (1.x)	1.14.1 ❌	1.14.0 ✅
axios (0.x)	0.30.4 ❌	0.30.3 ✅

Comment vérifier

Nous avons créé check-axios-attack — un outil gratuit et open source :

# Scan rapide
curl -fsSL https://noqta.tn/tools/check-axios-attack.sh | bash
 
# Scan et correction automatique
curl -fsSL https://noqta.tn/tools/check-axios-attack.sh | bash -s -- --fix

📖 Guide complet : Comment vérifier et corriger l'attaque Axios

Si vous êtes affecté : actions immédiates

Changez TOUS les secrets — clés API, mots de passe, tokens, certificats
Isolez les machines affectées du réseau
Rétrograder axios : npm install axios@1.14.0
Supprimez la dépendance malveillante : rm -rf node_modules/plain-crypto-js
Réinstallation propre : rm -rf node_modules && npm ci
Auditez les pipelines CI/CD

Prévention

Fixez les versions exactes dans package.json
Utilisez les lockfiles et installez avec npm ci
Activez le 2FA npm sur tous les comptes
Utilisez des outils de sécurité supply chain : Socket.dev, Snyk

Sources

FAQ

Axios est-il sûr maintenant ?

Oui — les versions malveillantes ont été retirées. Utilisez 1.14.0 ou 0.30.3.

Mon application frontend est-elle affectée ?

Si votre lockfile a résolu vers axios 1.14.1 ou 0.30.4 pendant la fenêtre d'attaque, oui. Vérifiez vos lockfiles.

Que fait le RAT ?

Il peut exécuter des commandes arbitraires, exfiltrer des données et persister après redémarrage.

Votre infrastructure Node.js est-elle sécurisée ? Noqta propose des audits de sécurité et du conseil DevSecOps pour les projets JavaScript/TypeScript. Contactez-nous.