Une librairie critique compromise
Axios, l'une des librairies JavaScript les plus téléchargées au monde avec plus de 100 millions de téléchargements par semaine, est au coeur d'une attaque de type supply chain signalée par Socket Security. La version axios@1.14.1, récemment publiée, embarque un package malveillant identifié sous le nom plain-crypto-js@4.2.1, injecté par un acteur malveillant dans la chaîne de distribution officielle.
Ce type d'attaque cible la chaîne d'approvisionnement logicielle : plutôt que de compromettre directement une application, l'attaquant infecte une dépendance largement utilisée, démultipliant ainsi l'impact potentiel. Compte tenu de l'adoption massive d'Axios dans l'écosystème JavaScript, des millions de projets sont susceptibles d'avoir intégré cette version compromise.
Capacités du malware et risques pour l'écosystème crypto
Le package malveillant embarqué présente trois capacités critiques. Il peut exécuter du code arbitraire à distance sur la machine hôte, déployer des fichiers malveillants dans l'environnement infecté, et dissimuler activement son comportement pour contourner les outils de détection classiques.
Les projets liés à la cryptomonnaie sont particulièrement exposés : wallets, interfaces DeFi, outils de trading ou d'indexation reposent fréquemment sur des librairies JavaScript comme Axios pour leurs appels API. Une compromission à ce niveau pourrait permettre l'exfiltration de clés privées, de seeds ou de données sensibles d'authentification.
France Cryptos recommande, en accord avec les préconisations de Socket Security, d'agir sans délai sur trois points. Vérifier la version d'Axios utilisée dans chaque projet et la verrouiller explicitement sur une version antérieure saine. Auditer les fichiers lockfiles (package-lock.json ou yarn.lock) pour détecter toute présence de plain-crypto-js@4.2.1. Ne procéder à aucune mise à jour d'Axios tant qu'une version assainie n'a pas été officiellement confirmée par les mainteneurs.
