Danosh🫀

🚨🔴 CYBERALERT CRITIQUE | Axios, une des plus grosses librairies JS attaquée. Une alerte critique sur Axios secoue l'industrie IT. Axios, c'est la librairie HTTP la plus utilisée en JavaScript entre 100M et 300M de téléchargements/semaine. Si vous êtes un peu geek, technique, codeur du dimanche ou développeur averti vous avez déjà certainement dû faire un `npm install axios` depuis votre terminal ! Ce matin -enfin la nuit dernière- entre 00h21 et 01h00 UTC, un attaquant a compris le package ! 👉🏾Il a pris le contr��le du compte npm du maintainer principal, jasonsaayman 👉🏾 Il a changé son email et l'a fait pointer vers une adresse ProtonMail 👉🏾 Il a ensuite publié 2 versions : [email protected] et [email protected] en 39 minutes... L'attaque est bien pensée ! Elle ne touche pas le code axios mais concerne une dépendance fantôme injectée : `[email protected]` Un package qui n'existait pas avant hier... et qui se fait passer pour le package légitime `crypto-js` dont le seul rôle est d'installer un RAT ! NOTA: `[email protected]` (version propre) avait été publiée 18h avant l'attaque pour construire une crédibilité... C'est le détail le plus frappant de toute cette affaire... Le hack est très propre, mais ô combien dévastateur. Le payload est activé via un dropper `setup.js` qui touche du cross-platform : 👉🏾 macOS → /Library/Caches/com.apple.act.mond 👉🏾 Windows → %PROGRAMDATA%\wt.exe 👉🏾 Linux → /tmp/ld.py Le RAT contacte ensuite un C2 -sfrclak[.]com:8000- après 1s à peine axios est installé. La cible compromise, le dropper `setup.js` se supprime, ne laissant aucune trace visible... La kill chain attack était très très vraisemblablement préméditée ! On est pas sur un attaque fortuite ! Le niveau de préparation évoque un acteur organisé, pas un cybercriminel lambda. Il y a quelques IoCs pour savoir si vous êtes touché... Vérifiez maintenant sur votre système : 👉🏾 `npm list axios | grep -E "1\.14\.1|0\.30\.4"` 👉🏾 `grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4"` 👉🏾 `ls node_modules/plain-crypto-js && echo "GAME OVER"` Il y a d'autres artefacts aussi à chercher. Si vous êtes compromis : 👉🏾 Isolez la machine 👉🏾 Ajoutez --ignore-scripts dans vos pipelines CI/CD 👉🏾 Auditez tous vos builds du 31/03 entre 00h21 et 03h29 UTC 👉🏾 Bloquez sfrclak[.]com en egress 👉🏾 Rotation COMPLÈTE de tous vos secrets : npm tokens, clés cloud, SSH, secrets CI/CD NOTA : Les versions sont maintenant retirées. NPM a supprimé les versions malveillantes à 03h29 UTC. On a certainement frôlé le pire... jusqu'à la prochaine fois !