D’après Feross Aboukhadijeh, cofondateur de la société de sécurité Socket Security, il existe une chaîne d’approvisionnement active sur Axios, qui fait partie des packages npm les plus dépendus.
NPM signifie Node Package Manager et c’est, en gros, le plus grand registre de logiciels au monde, hébergeant plus de deux millions de packages de code JavaScript open-source. On peut soutenir que c’est l’ossature du développement moderne de Web3.
D’après Feross, le dernier axios@1.14.1 est actuellement en train d’intégrer plain-crypto-just@4.2.1, qui est un package qui n’existait pas avant aujourd’hui, ce qui suggère qu’il s’agit d’un compromis en cours.
Ceci est un malware d’installation typique de chaîne d’approvisionnement. Axios a 100M+ de téléchargements hebdomadaires. Chaque npm install qui récupère la dernière version est potentiellement compromis en ce moment. Socket AI analyiss confirme que c’est un malware. Plain-crypto-js est un exécuteur/charge utile masqué (“obfuscated dropper/loadre”).
Le logiciel malveillant peut effectuer toute une série d’actions, notamment supprimer et renommer des artefacts après l’exécution afin de détruire des preuves médico-légales, préparer et copier des fichiers de charge utile vers les répertoires temporaires de l’OS et Windows ProgramData, exécuter des commandes shell décodées, et plus encore.
🚨 CRITIQUE : Attaque active par chaîne d’approvisionnement sur axios — l’un des packages npm les plus dépendus.
Le dernier axios@1.14.1 intègre désormais plain-crypto-js@4.2.1, un package qui n’existait pas avant aujourd’hui. Il s’agit d’un compromis en cours.
C’est un malware d’installation typique de chaîne d’approvisionnement. axios…
— Feross (@feross) 31 mars 2026
L’expert recommande que les développeurs qui utilisent axios épinglent immédiatement leurs versions et auditent leurs lockfiles, tout en s’abstenant de toute mise à jour pour le moment.
OFFRE SPÉCIALE (Exclusive)
Binance Free $600 (CryptoPotato Exclusive) : utilisez ce lien pour créer un nouveau compte et recevoir une offre de bienvenue exclusive de $600 sur Binance (tous les détails).
OFFRE LIMITÉE pour les lecteurs de CryptoPotato chez Bybit : utilisez ce lien pour enregistrer et ouvrir une position GRATUITE de $500 sur n’importe quelle pièce !
Tags:
Hacks
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
