Une attaque contre la chaîne d'approvisionnement d'Axios pourrait compromettre les portefeuilles de cryptomonnaies

Axios, l'une des bibliothèques JavaScript les plus populaires, pourrait être compromise et impliquée dans une attaque visant un portefeuille de cryptomonnaies. Les attaques ciblant les packages npm sont de plus en plus fréquentes et visent directement les projets, les développeurs et les utilisateurs finaux. 

Un paquet npm Axios a été publié sur la bibliothèque JavaScript officielle, puis retiré quelques heures plus tard. Des experts en sécurité blockchain ont intercepté l'attaque, qui a duré environ trois heures. 

@npmjs @GHSecurityLab Une attaque de la chaîne d'approvisionnement est en cours sur [email protected] et utilise un paquet malveillant publié aujourd'hui – [email protected] – quelqu'un a piraté un compte de maintenance d'Axios.

— Maxwell (@mvxvvll) 31 mars 2026

Les paquets npm ont été compromis via lesdentde @jasonsaayman, tandis que les chercheurs poursuivaient leurs investigations afin de déceler d'éventuels signes de compromission du compte. Les paquets concernés ont étédentcomme [email protected] et [email protected].

Comme Cryptopolitan l'a signalé précédemment, les attaques npm ciblent souvent les portefeuilles crypto et sont particulièrement risquées pour les projets décentralisés avec d'importantes équipes détenant des cryptomonnaies. 

Que s'est-il passé lors de l'attaque Axios npm ? 

StepSecurity a été parmi les premiers àdentle problème. Deux versions malveillantes de la bibliothèque cliente HTTP Axios ont été publiées via lesdentd'un responsable de la maintenance d'Axios, contournant ainsi le processus de publication normal sur GitHub. 

D'après StepSecurity, il s'agit de l'attaque la plus sophistiquée jamais perpétrée contre un package npm figurant parmi les dix plus utilisés. La version malveillante du package injecte une nouvelle dépendance, [email protected], qui n'est pas importée dans le code source d'axios. Cette dépendance exécute un script post-installation, actif sur tous les systèmes d'exploitation. 

Après utilisation de npm, le client est infecté par un cheval de Troie d'accès à distance, qui possède un serveur actif et déploie les charges utiles. Le logiciel malveillant s'autodétruit et remplace le fichier .json suspect par une version saine afin d'échapper à la détection. 

Quels types de projets ont été touchés ?

Les paquets npm figuraient parmi les plus populaires, avec jusqu'à 100 millions de téléchargements hebdomadaires. Cependant, à ce jour, aucun mouvement de cryptomonnaie non autorisé n'a été signalé. Auparavant, une attaque contre npm n'avait entraîné que des pertes de 1 000 $ en cryptomonnaies, provenant de jetons peu connus. 

Le seul moyen de limiter les logiciels npm malveillants est de tracles versions et de ne pas autoriser les mises à jour automatiques, ou de vérifier les nouvelles versions pour détecter d'éventuels téléchargements malveillants. 

Nouvelle attaque sur la chaîne d'approvisionnement, cette fois-ci contre npm axios, la bibliothèque cliente HTTP la plus populaire avec 300 millions de téléchargements hebdomadaires.

En analysant mon système, j'ai trouvé une utilisation importée de googleworkspace/cli datant d'il y a quelques jours, lorsque je faisais des essais avec l'interface de ligne de commande de Gmail/Google Agenda. La version installée (heureusement)… https://t.co/9DOVWH5KK1

– Andrej Karpathy (@karpathy) 31 mars 2026

Les chercheurs ont également découvert deux autres paquets malveillants diffusant des charges utiles de la même manière : @shadanai/openclaw et @qqbrowser/openclaw-qbot. Cette attaque survient une semaine seulement après l’injection de code malveillant LiteLLM. 

Aucun projet Web3 ou OpenClaw n'a été affecté, et aucun vol de cryptomonnaie n'a été constaté durant l'attaque. Cependant, des avertissements ont été émis concernant le risque de multiplication des attaques via npm, que ce soit par le biais d'identifiants volésdentd'éditeurs non autorisés. Cette menace fait suite à de précédents avertissements concernant du code malveillant utilisant la plateforme de compétences OpenClaw. 

Ces paquets ne se limitent pas aux projets Web3 ou aux bots et peuvent affecter toute charge utile liée à des portefeuilles de cryptomonnaies. La perte de confiance dans les installations npm et pip pour Python risque également d'éroder la confiance générale dans l'écosystème des bibliothèques, d'où les appels à une méthode de téléchargement plus sécurisée. 

L'utilisation d'agents d'IA peut également entraîner le téléchargement indiscriminé de paquets, propageant ainsi la menace. Les effets sur les portefeuilles de cryptomonnaies ne sont peut-être pas immédiats, mais ils exposent potentiellement les données de ces portefeuilles.