Axios, l'une des bibliothèques JavaScript les plus populaires, pourrait être compromise et impliquée dans une attaque de portefeuilles crypto. L'attaque de packages npm devient de plus en plus courante, ciblant directement les projets, les développeurs et les utilisateurs finaux.
Un package npm Axios a été publié dans la bibliothèque JavaScript officielle, puis dépublié quelques heures plus tard. Les experts en sécurité on-chain ont intercepté l'attaque, qui a été active pendant environ trois heures.
Les packages npm ont été compromis via les identifiants de @jasonsaayman, alors que les chercheurs recherchaient encore des signes de compromission du compte. Les packages affectés ont été identifiés comme [email protected] et [email protected].
Comme Cryptopolitan l'a signalé précédemment, les attaques npm ciblent souvent les portefeuilles crypto et sont particulièrement risquées pour les projets décentralisés détenant d'importants avoirs d'équipe.
Que s'est-il passé lors de l'attaque npm d'Axios ?
StepSecurity a été parmi les premiers à identifier le problème. Deux versions malveillantes de la bibliothèque client HTTP Axios ont été publiées via les identifiants compromis d'un mainteneur principal d'Axios, contournant le pipeline de publication normal sur GitHub.
Selon StepSecurity, il s'agissait de l'attaque la plus sophistiquée contre un package npm du top 10 largement utilisé. La version malveillante du package injecte une nouvelle dépendance, [email protected], qui n'est pas importée dans le code source d'axios. La dépendance exécute un script post-installation, actif sur tous les systèmes d'exploitation.
Après avoir utilisé le npm, le client est infecté par un dropper de cheval de Troie d'accès à distance, qui dispose d'un serveur actif et délivre les charges utiles. Le logiciel malveillant se supprime également lui-même et remplace le fichier .json suspect par une version propre pour échapper à la détection.
Quels types de projets ont été affectés ?
Les packages npm figuraient parmi les plus populaires, avec jusqu'à 100 millions de téléchargements hebdomadaires. Cependant, à ce stade, il n'y a aucun rapport de mouvement de crypto non autorisé. Précédemment, une attaque npm n'a entraîné que 1 000 $ de pertes en crypto provenant de tokens obscurs.
La seule façon de limiter les npm malveillants est de suivre les versions et de ne pas autoriser les mises à jour automatiques, ou de vérifier les nouvelles versions pour d'éventuels téléchargements malveillants.
Les chercheurs ont également découvert deux packages malveillants supplémentaires délivrant des charges utiles de la même manière – @shadanai/openclaw et @qqbrowser/openclaw-qbot. L'attaque fait suite à l'injection de code malveillant LiteLLM d'à peine une semaine.
Il n'y a aucun rapport de projets Web3 ou OpenClaw affectés ni de crypto volé, pendant la durée de l'attaque. Cependant, des avertissements ont été émis indiquant que les attaques npm pourraient désormais devenir la norme, soit par des identifiants volés, soit par des éditeurs non autorisés. La menace fait suite aux avertissements précédents concernant du code malveillant utilisant la plateforme de compétences OpenClaw.
Les packages ne sont pas limités aux projets Web3 ou de bots, et peuvent affecter toutes les charges utiles liées aux portefeuilles crypto. La perte de confiance dans les installations npm et pip pour Python peut également éroder la confiance générale dans l'écosystème des bibliothèques, avec des appels à un chemin de téléchargement plus sécurisé.
L'utilisation des agents d'IA peut également conduire à un téléchargement indiscriminé de packages, propageant ainsi la menace. Les effets réels sur les portefeuilles crypto peuvent ne pas être immédiats, mais ils exposent potentiellement les données de portefeuille.
Votre banque utilise votre argent. Vous récupérez les miettes. Regardez notre vidéo gratuite sur comment devenir votre propre banque
Source : https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
