Une bibliothèque JavaScript très répandue a servi de vecteur à une attaque susceptible d'affecter des millions d'ordinateurs à travers le monde. L'ampleur de la menace est considérable, et le mode opératoire des cybercriminels illustre à quel point la nature des attaques modernes a évolué. La bibliothèque Axios est un outil incontournable pour les développeurs depuis des années, utilisée dans d'innombrables projets et applications web. De ce fait, toute faille de sécurité peut avoir un impact mondial. L'attaque a débuté par la prise de contrôle du compte d'un des responsables du projet. Les pirates n'ont pas eu besoin de modifier le dépôt GitHub principal : ils ont simplement obtenu les autorisations de publication de paquets dans l'écosystème npm. Cela a permis de diffuser le code malveillant sous forme de mise à jour officielle. Des cybercriminels ont diffusé deux versions de la bibliothèque présentées comme des mises à jour régulières. En réalité, elles contenaient une dépendance cachée, dissimulée sous l'apparence d'un package cryptographique légitime. Ce composant était essentiel au bon déroulement de l'opération. Après l'installation, un script s'est lancé, se connectant à un serveur externe et téléchargeant un logiciel malveillant. Un cheval de Troie d'accès à distance s'est alors introduit sur l'ordinateur, lui permettant d'en prendre le contrôle. L'attaque ciblait les environnements Windows, macOS et Linux.

Sous macOS, le fichier binaire du RAT était enregistré dans le répertoire /Library/Caches/com.apple.act.mond, imitant un processus système Apple. Sous Windows, le logiciel malveillant copiait PowerShell dans le répertoire wt.exe et exécutait un script caché. Sous Linux, le RAT basé sur Python était placé dans le répertoire /tmp/ld.py. Le plus inquiétant est que la dépendance malveillante n'était pas utilisée dans le code. Son seul but était de mener une attaque lors de l'installation. Ce mode opératoire rend la détection de la menace difficile, même pour des équipes expérimentées. Le paquet infecté s'exécutait de manière quasi invisible. Une fois sa tâche terminée, il effaçait toute trace de son passage et restaurait les fichiers à un état similaire à l'original. Cela rendait l'analyse du code beaucoup plus difficile. Des experts en sécurité soulignent que le logiciel malveillant utilisait des techniques de masquage connues des cyberattaques sophistiquées. Le code n'était activé qu'après l'installation. Auparavant, il apparaissait comme un élément inoffensif du projet. Cela témoigne d'un changement d'approche chez les attaquants. Au lieu de cibler les utilisateurs finaux, ils s'attaquent de plus en plus à la chaîne d'approvisionnement logicielle. Un seul compte compromis peut affecter simultanément des milliers de projets.

JavaScript demeure l'un des langages les plus utilisés au monde. Des bibliothèques comme Axios sont téléchargées des dizaines de millions de fois par semaine. Même la présence, même brève, d'une version malveillante peut avoir de réelles conséquences. Des paquets infectés étaient disponibles pendant quelques heures seulement. Cela a suffi pour infecter certains projets qui mettent à jour automatiquement leurs dépendances. Dans ce cas, l'utilisateur n'a rien à installer manuellement. La menace se manifeste alors. Les experts signalent une augmentation du nombre d'attaques similaires. Le dépôt npm a déjà été la cible de campagnes utilisant des packages populaires pour diffuser du code malveillant. Cette fois-ci, le piratage du compte du responsable du projet leur a permis de contourner de nombreux mécanismes de vérification. Le système a considéré la publication comme fiable.