Compromission de la chaîne d’approvisionnement affectant Axios

  • Auteur/autrice de la publication :

Origine : bjCSIRT

Numéro : 2026/ALERTE/016

APERÇU :

Axios est une bibliothèque javascript permettant d’effectuer facilement des requêtes HTTP, à la fois dans le navigateur et dans les applications node.js. Il sert principalement à communiquer facilement avec des API, en simplifiant l’envoi et la réception de données (souvent en JSON), la gestion des erreurs, la configuration des requêtes et l’authentification. C’est l’une des bibliothèques les plus utilisées, avec 100 millions de téléchargement hebdomadaire.  

Suite à la compromission du compte npm de jasonsaayman, le principal mainteneur du projet axios, un acteur malveillant a publié deux versions altérées de la bibliothèque, identifiées comme axios@1.14.1 et axios@0.30.4, intégrant une dépendance malveillante nommée plain-crypto-js@4.2.1. Le rôle de ce paquet malveillant, est d’exécuter un script post-installation qui agit comme un dropper de logiciel malveillant permettant l’accès à distance sur les systèmes affectés. 

Cette compromission permettrait à un acteur malveillant d’exécuter du code arbitraire à distance sur les systèmes utilisant des versions altérées de la bibliothèque Axios. 

IMPACT

  • Exécution de code à distance ;
  • Atteinte à la confidentialité des données ;
  • Compromission de l’intégrité des données.

SYSTÈMES AFFECTÉS :

  • Tout système disposant des versions 1.14.1 et 0.30.4 de Axios. 

MESURES À PRENDRE :

  • Utiliser une version antérieure à axios@1.14.1 et axios@0.30.4

INDICATEURS DE COMPROMISSION :

Hash des charges malveillantes Axios :

  • f7d335205b8d7b20208fb3ef93ee6dc817905dc3ae0c10a0b164f4e7d07121cd (Windows) 
  • 617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101 (Windows) 
  • 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a (macOS) 
  • fcb81618bb15edfedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf (Linux) 

Package npm malicieux :  

  • 2553649f232204966871cea80a5d0d6adc700ca (axios@1.14.1) 
  • d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71 (axios@0.30.4) 
  • 07d889e2dadce6f3910dcbc253317d28ca61c766 (plain-crypto-js@4.2.1) 

Indicateurs de compromissions réseaux :  

  • Sfrclak.com 
  • 142.11.206.73 
  • hxxp[://]sfrclak[.]com:8000/6202033  

RÉFÉRENCES :