LEBIGDATA.FR I.A, Cloud & Cybersécurité
La cyberattaque sur Axios ne ressemble pas aux autres. Elle est invisible mais puissante et silencieuse mais très dévastatrice. Des millions de développeurs pourraient avoir été exposés sans le savoir.
Le groupe de renseignement sur les menaces de Google (GTIG) vient de confirmer dans un avis de sécurité qu’une cyberattaque sur Axios est d’une envergure terrifiante. Rien ne semble visible à première vue. C’est évident puisque les attaquants ne visent pas une cible classique. Ils s’attaquent directement aux outils utilisés par des milliers de développeurs. Google prévient déjà que les répercussions pourraient être importantes. Et cette fois, l’origine de l’attaque soulève de sérieuses inquiétudes.
Les dessous de la cyberattaque sur Axios
Les pirates ont infiltré la chaîne d’approvisionnement logicielle via le gestionnaire de paquets npm. Ils ont visé deux versions spécifiques du logiciel : 1.14.1 et 0.30.4. Cela cumule plus de 180 millions de téléchargements hebdomadaires.
Les attaquants ont tenté d’y injecter une dépendance piégée baptisée « plain-crypto-js ». Ce module pirate agit ainsi comme un cheval de Troie invisible sur vos systèmes. Oui, l’ajout de ce dernier peut suffire à infecter un projet entier. Car ce code corrompu déploie une porte dérobée sur Windows, macOS et Linux.
Aucun environnement courant n’échappe à sa portée. Une fois installée, cette brèche permet aux assaillants de circuler librement dans les serveurs des entreprises. Pire, plusieurs variantes existent, écrites en C++, PowerShell ou Python. Les attaquants misent donc sur une attaque de la chaîne d’approvisionnement sophistiquée. Ils exploitent la confiance accordée aux outils populaires pour se propager.
Les experts soulignent que la manipulation de la cyberattaque sur Axios a été d’une précision chirurgicale. Le but est d’éviter toute détection immédiate par les outils de sécurité classiques.
L’unité UNC1069 derrière la cyberattaque sur Axios
Google pointe directement du doigt le groupe nord-coréen UNC1069. Mais comment la firme de Mountain View en arrive-t-elle à une telle certitude ? Les chercheurs ont identifié l’utilisation du malware WAVESHAPER.V2 pour piloter cette cyberattaque sur Axios.
Ce programme est un RAT (Remote Access Trojan). Il s’agit d’un outil de prise de contrôle à distance ultra-perfectionné. Il permet l’extraction de données télémétriques et l’exécution de commandes arbitraires sur la machine de la victime.
L’infrastructure réseau utilisée pour cette opération trahit la signature de Pyongyang. Les analystes ont repéré des similitudes évidentes avec d’anciennes campagnes qui ciblent le secteur financier depuis 2018. Cette cyberattaque sur Axios confirme que le groupe UNC1069 mise désormais sur la compromission de l’automatisation des logiciels pour maximiser son impact.
Des conséquences industrielles bien réelles
Comme évoqué plus haut, cette cyberattaque sur Axios ne vise pas directement le grand public. Elle cible ceux qui construisent les applications. Or, Axios se trouve au cœur de nombreux projets, ce qui amplifie l’impact. Les développeurs deviennent malgré eux des relais. Une seule dépendance infectée peut compromettre l’ensemble d’un projet. Ensuite, le malware peut se propager plus loin.
Pour les entreprises de la technologie, la menace devient très concrète. La confiance envers les outils open source commence à vaciller. Si un composant aussi central se retrouve compromis, toute la chaîne de production soulève des doutes. Les équipes doivent donc revoir leurs pratiques, parfois dans l’urgence.
Google alerte sur un risque tangible. Des centaines de milliers de secrets pourraient circuler. Des clés API, des identifiants ou des données internes se retrouvent exposés. Les ingénieurs doivent ainsi redoubler de vigilance face à des techniques de piratage toujours plus intelligentes.
D’ailleurs, les pirates utilisent des deepfakes et de faux entretiens d’embauche pour piéger les développeurs. Cette stratégie de manipulation humaine complète l’offensive technique de la cyberattaque sur Axios.
Au final, l’objectif reste le même. Le groupe UNC1069 cherche à dérober des actifs numériques, notamment dans l’écosystème des cryptomonnaies qu’il cible depuis des années.
Restez à la pointe de l'information avec LEBIGDATA.FR !
- Partager l'article :
