TechFlow rapporte, le 2 avril, qu’après une attaque révélée par VentureBeat, des pirates ont volé le jeton d’accès npm du mainteneur principal de la bibliothèque HTTP JavaScript la plus populaire, Axios, et utilisé ce jeton pour publier deux versions malveillantes contenant un cheval de Troie à accès à distance multiplateforme (RAT) : axios@1.14.1 et axios@0.30.4. Ces versions ciblaient les systèmes macOS, Windows et Linux. Les paquets malveillants sont restés présents sur le registre npm pendant environ trois heures avant d’être supprimés.
Selon les données de la société de cybersécurité Wiz, Axios est téléchargé plus de 100 millions de fois par semaine et figure dans environ 80 % des environnements cloud et de développement logiciel. La société de sécurité Huntress a détecté les premiers cas d’infection seulement 89 secondes après la publication des paquets malveillants et a confirmé, durant la fenêtre d’exposition, l’intrusion sur au moins 135 systèmes.
Il convient de noter que le projet Axios avait déjà mis en œuvre des mesures de sécurité modernes, notamment un mécanisme de publication fiable basé sur OIDC et des preuves de traçabilité SLSA. Toutefois, les attaquants sont parvenus à contourner entièrement ces dispositifs de défense. L’enquête a révélé que, bien que le projet ait configuré OIDC, il conservait encore un jeton npm traditionnel à longue durée de validité (NPM_TOKEN). Or, npm utilise par défaut ce type de jeton traditionnel dès lors qu’il coexiste avec un jeton OIDC, permettant ainsi aux attaquants de publier sans avoir besoin de contourner OIDC.
