Axios piégé : 80 millions de téléchargements hebdo exposés à un rat furtif
Axios, la bibliothèque JavaScript qui fait respirer le web, s’est muée en cheval de Troie. Quatre-vingts millions de téléchargements par semaine, et voilà que des versions 1.14.1 et 0.30.4 hébergent un dropper de RAT silencieux. Pas une ligne du cœur du code n’a été touchée ; l’attaque a frappé plus bas, dans la chaîne de dépendances, là où les développeurs ne regardent presque jamais.
Des identifiants github dérobés pour insérer une dépendance fantôme
Les assaillants ont d’abord récupéré les identifiants d’un mainteneur principal. Une fois à l’intérieur, ils ont publié une version patchée qui n’embarque pas de malware visible, mais un simple paquet nommé ssl-compat. Celui-ci s’installe en post-script, efface ses métadonnées, puis déchiffre en mémoire un payload XORé. Windows, macOS, Linux : trois plates-formes, une seule porte dérobée ouverte vers un serveur C2 hébergé en Russie, selon les premiers échos de ReversingLabs.
La routine est chirurgicale. Le script supprime les logs npm, falsifie les timestamps, et se garde une petite séquence pour relancer le binaire à chaque redémarrage de l’environnement Node. Pour l’utilisateur, pas d’erreur 404, pas de latence suspecte ; juste une bibliothèque qui « fonctionne comme avant ». C’est ça le piège : la régression se fait sur la machine, pas dans le code source.
Les ci/cd contaminés avant même le premier commit
Le malus est apparu dès l’étape npm install. Résultat : des pipelines d’intégration continuelle ont servi le Trojan à des millions de terminaux. Les équipes de Cyble recensent déjà des exfiltrations de fichiers .env dans des start-up californiennes et des banques européennes. La valeur thermique de l’incident ? Des clés AWS, des jetons Slack, des certificats de signature Apple, tous aspirés en quelques millisecondes.
Les réponses officielles se font attendre. Le repo Git d’Axios est resté figé six heures, le temps que la communauté comprenne que la faille ne se corrige pas avec un simple npm audit fix. Il a fallu purger les caches corporatifs, révoquer les tokens, et surtout revenir aux versions 1.6.0 et 0.27.2, datées mais vierges. Le mainteneur principal a publié un bref communiqué : « Nous avons révoqué toutes les clés, activé l’authentification forte, et audité l’historique git. » Aucun mot sur la provenance du credential leak, ni sur le temps pendant lequel le RAT est resté actif.
Quand la supply chain devient une ligne de front
La leçon est crue : même une librairie jugée « stable » peut se transformer en vecteur d’accès complet. Le secteur financier, qui utilisait Axios pour relier ses micro-services, a dû temporiser des milliers de déplois. Le jeu vidéo en ligne, l’e-commerce, les applis de téléconsultation : tous ont dû réécrire leurs lock-files sous pression. Le coût horaire ? Plus de 2 millions de dollars de perte de productivité rien que chez un acteur du S&P 500, selon un estimateur de Datadog.
Les gestionnaires de paquets vont devoir troquer la sacro-sainte rétrocompatibilité contre une vérification en amont. Des prototypes de signatures binaires côté registre commencent à circuler. Mais tant que npm publish restera un simple npm login suivi d’un npm publish, la cible restera large. Axios survivra ; la confiance, elle, est déjà à la source.