Axios Compromis sur NPM : Versions Malveillantes

Introduction

Une faille de sécurité a été découverte dans les versions 1.14.1 et 0.30.4 de la bibliothèque HTTP client axios sur npm. Les versions malveillantes injectent une dépendance supplémentaire qui déploie un cheval de Troie d'accès à distance (RAT) sur les systèmes ciblés.

Contexte Technique

Les versions malveillantes ont été publiées en utilisant les informations d'identification compromises d'un mainteneur principal d'axios, contournant ainsi le pipeline CI/CD normal de GitHub Actions. L'attaquant a modifié l'adresse e-mail du mainteneur pour utiliser une adresse ProtonMail anonyme et a publié les packages malveillants via l'interface de ligne de commande npm.

Les versions malveillantes injectent une nouvelle dépendance, plain-crypto-js@4.2.1, qui n'est jamais importée dans le code source d'axios. Son seul but est d'exécuter un script postinstall qui agit comme un dropper de RAT, ciblant macOS, Windows et Linux. Le dropper contacte un serveur de commande et de contrôle en direct et livre des charges utiles de deuxième étape spécifiques à la plateforme.

Analyse et Implications

Les implications de cette faille de sécurité sont graves, car axios est l'une des bibliothèques les plus populaires dans l'écosystème JavaScript, avec plus de 300 millions de téléchargements par semaine. Les développeurs qui ont installé les versions malveillantes doivent supposer que leur système est compromis et prendre des mesures pour se protéger, telles que mettre à jour vers des versions sûres et faire pivoter tous les secrets et informations d'identification sur les machines affectées.

Perspective

Il est essentiel de surveiller les mises à jour de sécurité et les correctifs pour les bibliothèques et les frameworks populaires comme axios. Les développeurs doivent être conscients des risques potentiels liés à l'utilisation de packages malveillants et prendre des mesures pour se protéger, telles que l'utilisation de gestionnaires de packages sécurisés et la mise en place de processus de vérification et de validation pour les dépendances.