Des hackers nord-coréens ont détourné Axios lors d'une attaque par chaîne d'approvisionnement qui a pris des semaines à mettre en place
Un projet largement utilisé transformé en vecteur de cyberattaque
Une opération cybernétique nord-coréenne a brièvement détourné Axios, l'un des projets open-source les plus utilisés sur le web, lors d'une attaque le 31 mars qui semble avoir été préparée pendant des semaines. Cette compromission souligne comment les hackers soutenus par des États ciblent de plus en plus les infrastructures logicielles de confiance, où une seule brèche peut se propager à des milliers de systèmes.
Axios est une bibliothèque JavaScript populaire utilisée par les développeurs pour connecter des applications à internet. Parce qu'elle est intégrée dans tant de builds logicielles, une compromission du projet peut avoir des conséquences bien au-delà du projet lui-même. Dans ce cas, les mises à jour malveillantes n'ont été actives que pendant environ trois heures avant d'être retirées, mais cette fenêtre a pu être suffisante pour infecter des milliers de systèmes.
L'attaque a été documentée dans un rapport post-mortem par Jason Saayman, qui maintient le projet et a exposé la chronologie de la compromission. Selon Saayman, les attaquants ont commencé à le cibler environ deux semaines avant de prendre le contrôle de son ordinateur et de l'utiliser pour publier du code malveillant.
Une longue escroquerie basée sur la confiance
L'opération a moins reposé sur la force brute que sur la patience. Saayman a déclaré que les attaquants se sont fait passer pour une véritable entreprise, ont créé un espace de travail Slack convaincant et l'ont rempli de faux profils d'employés pour rendre la ruse légitime. Ils l'ont ensuite invité à une réunion web qui l'a incité à télécharger un logiciel malveillant déguisé en mise à jour nécessaire pour rejoindre l'appel.
Saayman a déclaré que l'appât correspondait à une technique précédemment associée aux hackers nord-coréens et identifiée par les chercheurs en sécurité de Google : une approche d'ingénierie sociale qui convainc les cibles d'installer un logiciel donnant aux attaquants un accès à distance. Dans ce cas, cet accès semble avoir été la clé pour pousser les versions malveillantes d'Axios.
L'incident illustre pourquoi les mainteneurs de projets open-source sont devenus des cibles de si grande valeur. Les projets populaires sont souvent maintenus par de petites équipes ou même un seul développeur, mais ils peuvent être intégrés dans d'innombrables applications et services. Cela fait des appareils personnels des mainteneurs un point d'entrée attrayant pour les attaquants cherchant à compromettre des logiciels à grande échelle.
Le risque s'étend bien au-delà d'un seul projet
Protégez votre vie privée avec Doppler VPN
3 jours d'essai gratuit. Sans inscription. Sans journaux.
Les paquets Axios malveillants ont été rapidement supprimés, mais pas avant d'avoir eu la chance de se propager. Tout système ayant installé l'une des versions compromises pendant la brève fenêtre d'exposition a pu être vulnérable au vol de clés privées, d'identifiants et de mots de passe stockés sur cette machine. Ces secrets volés peuvent ensuite être utilisés pour s'introduire plus profondément dans d'autres systèmes et services, transformant un incident de chaîne d'approvisionnement logicielle en une brèche plus étendue.
Cette possibilité est ce qui rend ce type d'attaque si préoccupant. La victime immédiate peut être l'ordinateur portable d'un développeur ou un seul dépôt de paquets, mais la cible éventuelle peut être beaucoup plus vaste : les utilisateurs et les organisations qui font confiance au projet dans le cadre de leur propre pile logicielle.
L'incident Axios s'inscrit également dans un schéma plus large. Les hackers nord-coréens restent parmi les cybermenaces les plus actives sur internet, et ils ont été liés à plusieurs reprises à des opérations combinant l'ingénierie sociale, le vol d'identifiants et les logiciels malveillants d'accès à distance. Leurs campagnes brouillent souvent la ligne entre l'espionnage et la criminalité à motivation financière, le vol de cryptomonnaies faisant fréquemment partie du mélange.
Un modus operandi familier, un avertissement plus large
Ce qui distingue cette dernière compromission, ce n'est pas seulement la cible, mais la manière méthodique dont elle s'est déroulée. Les attaquants n'ont pas simplement exploité une faille technique dans le code du projet. Ils ont investi du temps pour construire une identité crédible, gagner la confiance du mainteneur et finalement obtenir l'accès à la machine utilisée pour publier les mises à jour officielles.
Cette approche met en lumière une réalité difficile pour les écosystèmes open-source : la sécurité des logiciels largement utilisés dépend non seulement de la révision du code et de la surveillance des paquets, mais aussi des défenses personnelles des personnes qui maintiennent le code. Alors que les hackers parrainés par des États et les groupes criminels continuent de cibler ces mainteneurs, la chaîne d'approvisionnement elle-même devient une ligne de front dans le cyberconflit.
Saayman n'a pas immédiatement répondu aux questions de suivi concernant l'incident. L'étendue complète de la compromission est toujours en cours d'évaluation, mais la leçon est déjà claire : lorsque des logiciels de confiance sont détournés, le rayon d'impact peut s'étendre bien au-delà du projet qui a été violé.
Sources :