.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Le 30 mars 2026, une attaque visant la sécurité de la supply chain a ciblé Axios, un client HTTP JavaScript largement utilisé pour les applications web et Node.js. Des chercheurs tiers ont identifié que les versions 1.14.1 et 0.30.4 d'Axios publiées sur le registre npm avaient été compromises suite à la prise de contrôle apparente d'un compte légitime de type maintainer. Un attaquant a publié des mises à jour de package non autorisées qui semblaient légitimes.
Les versions concernées ont introduit une dépendance malveillante qui s'exécute lors de l'installation et déploie un RAT (Remote Access Trojan) multiplateforme. Le malware communique avec un serveur command & control (C2) pour récupérer des charges virales Stage-2 spécifiques à la plateforme. Après son exécution, le malware tente de supprimer les traces d'installation et remplace ses propres métadonnées par une version « clean » afin d'échapper à la détection via une analyse forensique.
Observations de Sophos
Une activité liée à cette menace a été détectée pour la première fois dans les données de télémétrie des clients de Sophos vers 00h45 UTC le 31 mars, avec un impact généralisé à 01h00 UTC. Les systèmes MacOS, Windows et Linux ont été touchés, mais à l'heure où nous publions ces informations, rien ne prouve que des acteurs malveillants aient mené des activités ultérieures.
L'analyse de la compromission du npm d'Axios par la CTU (Counter Threat Unit™) a révélé des artefacts liés à une activité antérieure attribuée au groupe malveillants NICKEL GLADSTONE. Ce groupe, parrainé par un État, a pour objectif de générer des revenus pour le régime nord-coréen. Les artefacts comprennent des métadonnées forensiques et des patterns de command & control (C2) identiques, ainsi que des liens avec des malwares utilisés exclusivement par NICKEL GLADSTONE. Au vu de ces artefacts, il est fort probable que NICKEL GLADSTONE soit responsable des attaques contre Axios.
Actions recommandées
Les chercheurs de la CTU™ recommandent aux organisations de vérifier les packages Axios présents dans leurs environnements et de déterminer si des versions potentiellement affectées ont été installées. Les organisations doivent mettre à jour les packages vulnérables vers des versions fiables ou mettre en œuvre des mesures de mitigation appropriées. Les chercheurs de la CTU conseillent également de consulter les logs système et ceux des applications pour détecter toute activité inhabituelle pouvant indiquer une potentielle compromission.
Protections et indicateurs de menace
Les protections Sophos suivantes sont liées à cette menace :
- JS/Agent-BLYB
- Troj/PSAgent-CN
- Troj/PyAgent-BZ
- OSX/NukeSped-CB
- WIN-EVA-PRC-RENAMED-POWERSHELL-1
Les indicateurs de menace du tableau 1 peuvent être utilisés pour détecter les activités liées à cette dernière. Notez que les adresses IP peuvent être réallouées. Les domaines, l'URL et l'adresse IP peuvent contenir du contenu malveillant ; tenez compte des risques avant de les ouvrir dans un navigateur.
| Indicateur< | Type< | Contexte< |
| 21d2470cae072cf2d027d473d168158c< | Hachage MD5< | Version malveillante d'Axios (axios-1.14.1.tgz)< |
| 2553649f2322049666871cea80a5d0d6adc700ca< | Hachage SHA1< | Version malveillante d'Axios (axios-1.14.1.tgz)< |
| 5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd< | Hachage SHA256< | Version malveillante d'Axios (axios-1.14.1.tgz)< |
| d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71< | Hachage SHA1< | Version malveillante d'Axios (axios-0.30.4.tgz)< |
| 59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80c0f< | Hachage SHA256< | Version malveillante d'Axios (axios-0.30.4.tgz)< |
| db7f4c82c732e8b107492cae419740ab< | Hachage MD5< | Version malveillante d'Axios (plain-crypto-js-4.2.1.tgz)< |
| 07d889e2dadce6f3910dcbc253317d28ca61c766< | Hachage SHA1< | Version malveillante d'Axios (plain-crypto-js-4.2.1.tgz)< |
| 58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c61a057325af668< | Hachage SHA256< | Version malveillante d'Axios (plain-crypto-js-4.2.1.tgz)< |
| 7658962ae060a222c0058cd4e979bfa1< | Hachage MD5< | Artefact issu d'une attaque Axios (setup.js)< |
| b0e0f12f1be57dc67fa375e860cedd19553c464d< | Hachage SHA1< | Artefact issu d'une attaque Axios (setup.js)< |
| e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09< | Hachage SHA256< | Artefact issu d'une attaque Axios (setup.js)< |
| 089e2872016f75a5223b5e02c184dfec< | Hachage MD5< | Charge virale Windows Stage-1 dans les attaques Axios (system.bat)< |
| 978407431d75885228e0776913543992a9eb7cc4< | Hachage SHA1< | Charge virale Windows Stage-1 dans les attaques Axios (system.bat)< |
| f7d335205b8d7b20208fb3ef93ee6dc817905dc3ae0c10a0b164f4e7d07121cd< | Hachage SHA256< | Charge virale Windows Stage-1 dans les attaques Axios (system.bat)< |
| 04e3073b3cd5c5bfcde6f575ecf6e8c1< | Hachage MD5< | Charge virale Windows Stage-2 dans les attaques Axios (RAT PowerShell 6202033)< |
| a90c26e7cbb3440ac1cad75cf351cbedef7744a8< | Hachage SHA1< | Charge virale Windows Stage-2 dans les attaques Axios (RAT PowerShell 6202033)< |
| 617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101< | Hachage SHA256< | Charge virale Windows Stage-2 dans les attaques Axios (RAT PowerShell 6202033)< |
| 7a9ddef00f69477b96252ca234fcbeeb< | Hachage MD5< | Charge virale macOS dans les attaques Axios (com.apple.act.mond)< |
| 13ab317c5dcab9af2d1bdb22118b9f09f8a4038e< | Hachage SHA1< | Charge virale macOS dans les attaques Axios (com.apple.act.mond)< |
| 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a< | Hachage SHA256< | Charge virale macOS dans les attaques Axios (com.apple.act.mond)< |
| 9663665850cdd8fe12e30a671e5c4e6f< | Hachage MD5< | Charge virale Linux dans les attaques Axios (ld.py)< |
| 59faac136680104948e083b3b67a70af9bfa5d5e< | Hachage SHA1< | Charge virale Linux dans les attaques Axios (ld.py)< |
| fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf< | Hachage SHA256< | Charge virale Linux dans les attaques Axios (ld.py)< |
| 8c782b59a786f18520673e8d669e3b0a< | Hachage MD5< | Fichier de persistance lié au malware Windows dans les attaques Axios (system.bat)< |
| ae39c4c550ad656622736134035f17ca7a66a742< | Hachage SHA1< | Fichier de persistance lié au malware Windows dans les attaques Axios (system.bat)< |
| e49c2732fb9861548208a78e72996b9c3c470b6b562576924bcc3a9fb75bf9ff< | Hachage SHA256< | Fichier de persistance lié au malware Windows dans les attaques Axios (system.bat)< |
| sfrclak[.]com< | Nom de domaine< | Serveur C2 lié aux attaques Axios< |
| callnrwise[.]com< | Nom de domaine< | Lié aux attaquants d'Axios< |
| hxxp://sfrclak[.]com:8000/6202033< | URL< | Serveur C2 lié aux attaques Axios< |
| 142[.]11[.]206[.]73< | Adresse IP< | Serveur C2 lié aux attaques Axios< |
| nrwise@proton[.]me< | Adresse email< | Lié aux attaquants d'Axios< |
| ifstap@proton[.]me< | Adresse email< | Lié aux attaquants d'Axios< |
| C:\ProgramData\wt.exe< | Chemin du fichier< | Localisation des malwares Windows dans les attaques Axios< |
| C:\ProgramData\system.bat< | Chemin du fichier< | Localisation du malware Stage-1 sous Windows dans les attaques Axios< |
Tableau 1 : Indicateurs pour cette menace
Billet inspiré de Axios npm package compromised to deploy malware, sur le Blog Sophos.