Une attaque par ingénierie sociale de type ClickFix, orchestrée via Slack et Teams, est à l'origine de la compromission du compte du mainteneur d'Axios.

Une attaque par ingénierie sociale de type ClickFix est à l’origine de la compromission du compte du mainteneur d’Axios. Voici ce que l’on sait sur le déroulement de cette cyberattaque ayant permis de distribuer un Cheval de Troie d’accès à distance (RAT).

Souvenez-vous, il y a quelques jours, le compte du mainteneur d’Axios, un client HTTP téléchargé plus de 80 millions de fois par semaine sur NPM, a été compromis. Cet accès a permis aux pirates de publier deux versions malveillantes destinées à distribuer un malware de type RAT (Remote Access Trojan). La dépendance malveillante nommée plain-crypto-js a été ajoutée au paquet Axios. Ces versions infectées (versions 1.14.1 et 0.30.4) sont restées en ligne pendant 3 heures.

Une ingénierie sociale poussée à l’extrême Oubliez les e-mails de phishing bourrés de fautes d’orthographe. L’attaque ayant mené à la compromission du compte du développeur d’Axios est plus sophistiquée, même si elle repose sur des mécanismes bien connus, comme la technique ClickFix. Le groupe de pirates UNC1069, affilié à la Corée du Nord, a orchestré une attaque ultra-ciblée contre Jason Saayman, le mainteneur principal du projet Axios.