Compromission du client HTTP Axios
.png)
Produits concernés
• Axios 1.14.1
• Axios 0.30.4
Prérequis
• Application en version vulnérable
Risques
• Exécution de code arbitraire
• Accès au réseau interne de l’entreprise
Résumé
Le client HTTP Axios a été victime d’une attaque de la chaîne d’approvisionnement (Supply chain attack) le 30 mars 2026.
Axios est un des clients HTTP les plus utilisés, avec plus de 83 millions de téléchargements par semaine.
Le principal contributeur au projet Axios s’est fait compromettre son compte NPM. Les versions 1.14.1 et 0.30.4 ont par la suite été publiées avec les identifiants récupérés.
Ces deux versions ne modifient pas le code de la solution mais rajoute une dépendance au projet : plain-crypto-js. Cette dépendance, dans sa dernière version, charge un fichier après l’installation qui détecte le système d’exploitation et télécharge un virus adapté à l’environnement de la machine. Une fois le virus chargé, les fichiers de plain-crypto-js sont remplacés par une version non malveillante afin de ne pas se faire détecter par un EDR.
L’installation d’une de ces deux versions pourrait permettre à l’attaquant à minima une compromission complète du système (exécution de commande).
Solutions
Détection de la compromission :
Afin de vérifier si un équipement est compromis, vous pouvez:
• Vérifier la version d’Axios installée
• "/Library/Caches/com.apple.act.mond" (macOS)
• "%PROGRAMDATA%\wt.exe" (Windows)
• "/tmp/ld.py" (Linux).
• “sfrclak[.]com”
Remédiation :
Si un indicateur de compromission est détecté, il est nécessaire de :
• Axios 1.14.0
• Axios 0.30.3
• faire une rotation des secrets de la machine compromise
Mitigation :
Il est recommandé de bloquer le domaine des attaquants “sfrclak[.]com”
Restez informés des dernières menaces !
Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.
