Mise à jour du 31 mars 2026, 13h28 UTC : Cet article a été mis à jour pour ajouter les commentaires d'Abdelfattah Ibrahim, ingénieur senior en sécurité offensive chez Hacken.
Deux versions npm malveillantes d'Axios ont incité les développeurs à renouveler leurs identifiants et à considérer les systèmes affectés comme compromis après qu'une attaque de la chaîne d'approvisionnement ait empoisonné la populaire bibliothèque cliente HTTP JavaScript.
La compromission a été signalée pour la première fois par la société de cybersécurité Socket, qui a déclaré que les versions axios@1.14.1 et axios@0.30.4 avaient été modifiées pour inclure plain-crypto-js@4.2.1, une dépendance malveillante qui s'exécutait automatiquement lors de l'installation avant que les versions ne soient retirées de npm.
Selon la société de sécurité OX Security, le code altéré peut donner aux attaquants un accès à distance aux appareils infectés, leur permettant de voler des données sensibles telles que les identifiants de connexion, les clés API et les informations de portefeuilles crypto.
L'incident montre comment un seul composant open-source compromis peut potentiellement se propager à des milliers d'applications qui en dépendent, exposant non seulement les développeurs, mais aussi les plateformes et les utilisateurs connectés au système.
OX Security a averti les développeurs ayant installé axios@1.14.1 ou axios@0.30.4 de considérer leurs systèmes comme entièrement compromis et de renouveler immédiatement leurs identifiants, y compris les clés API et les jetons de session.
Socket a déclaré que les versions compromises d'Axios avaient été modifiées pour inclure une dépendance à plain-crypto-js@4.2.1, un paquet publié peu avant l'incident et identifié plus tard comme malveillant.
En lien: L'extension de navigateur Trust Wallet désactivée par un « bug » du Chrome Store, selon son PDG
La société a déclaré que la dépendance était configurée pour s'exécuter automatiquement lors de l'installation via un script post-installation, permettant aux attaquants d'exécuter du code sur les systèmes cibles sans interaction supplémentaire de l'utilisateur.
Socket a conseillé aux développeurs de vérifier leurs projets et fichiers de dépendances pour les versions affectées d'Axios et le paquet plain-crypto-js@4.2.1 associé, et de supprimer ou de restaurer toute version compromise immédiatement.
Abdelfattah Ibrahim, ingénieur senior en sécurité offensive chez Hacken, a déclaré à Cointelegraph que cette compromission pourrait avoir de sérieuses implications pour les applications liées aux cryptos qui dépendent d'Axios pour les opérations de backend.
« C'est une mauvaise nouvelle pour les dapps et les applications qui traitent des cryptomonnaies, car Axios joue un rôle énorme dans les appels API », a-t-il déclaré, notant que les systèmes affectés pourraient inclure les intégrations d'échanges, les vérifications de solde de portefeuille et les diffusions de transactions.
Ibrahim a déclaré que le logiciel malveillant déployé lors de l'attaque fonctionne comme un cheval de Troie d'accès à distance complet, permettant aux attaquants d'interagir directement avec les systèmes compromis. Il a ajouté que l'incident met en évidence une faiblesse plus large dans la gestion des risques de la chaîne d'approvisionnement.
Des incidents crypto antérieurs ont montré comment les violations de la chaîne d'approvisionnement peuvent passer du vol d'informations de développeurs à des pertes de portefeuilles subies par les utilisateurs finaux.
Le 3 janvier, l'enquêteur onchain ZachXBT a signalé que « des centaines » de portefeuilles sur les réseaux compatibles avec la Machine Virtuelle Ethereum avaient été vidés lors d'une attaque à grande échelle qui a siphonné de petites sommes à chaque victime.
Le chercheur en cybersécurité Vladimir S. a déclaré que l'incident était potentiellement lié à une violation de données en décembre affectant Trust Wallet, qui a entraîné environ 7 millions de dollars de pertes sur plus de 2 500 portefeuilles.
Trust Wallet a déclaré plus tard que la violation pourrait provenir d'une compromission de la chaîne d'approvisionnement impliquant des paquets npm utilisés dans son flux de travail de développement.
Magazine : Personne ne sait si la cryptographie quantique sécurisée fonctionnera réellement