Axios 1.14.1 compromis par un logiciel malveillant, cible les flux de travail de développement assisté par IA

Une attaque de chaîne d'approvisionnement cible le package axios
Une attaque de chaîne d'approvisionnement a compromis la version 1.14.1 d'axios, qui intègre silencieusement [email protected] en tant que dépendance. Ce package est un dropper de RAT (cheval de Troie d'accès à distance) obfusqué. NPM a retiré la version malveillante, mais les développeurs qui l'ont installée pendant la fenêtre de vulnérabilité peuvent être infectés.
Les flux de travail de développement assisté par IA sont menacés
L'attaque cible spécifiquement les développeurs utilisant des assistants de codage IA comme Claude. La source note qu'avec le codage IA, les développeurs laissent souvent l'IA gérer l'installation des packages sans vérifier les différences dans package.json ni auditer les dépendances qui sont intégrées. Les attaquants exploitent cette confiance dans les flux de travail automatisés où les développeurs échafaudent des projets et exécutent des installations sans vérification manuelle.
Étapes immédiates de détection et de remédiation
Exécutez ces commandes pour vérifier une infection :
# Vérifiez votre fichier de verrouillage
grep -r "plain-crypto-js" package-lock.json
grep -r "[email protected]" package-lock.json
Vérifiez les artefacts de persistance
ls -la /library/caches/com.apple.act.mond # macOS
ls /tmp/ld* # Linux
Si vous trouvez le package malveillant :
- Revenez immédiatement à [email protected]
- Faites tourner toutes les clés et identifiants (identifiants AWS, clés API, etc.)
- Auditez tous les fichiers de verrouillage dans vos projets
Mesures préventives
La source recommande d'épingler les versions et d'auditer manuellement les dépendances que les assistants IA intègrent. Les développeurs devraient ralentir les installations automatisées et lire réellement quels packages sont ajoutés à leurs projets.
📖 Lire la source complète : r/ClaudeAI
👀 See Also

Pic de sévérité des CVE après la sortie de la prévisualisation du Mythe de Claude — Données Epoch AI
Epoch AI signale un bond de 3,5x des CVE de sévérité haute et critique en juin 2026, après l'annonce par Anthropic de Claude Mythos Preview et du Projet Glasswing.

Sécurisation de l'Infrastructure OpenClaw avec le Proxy Sensible à l'Identité Pomerium
Utilisez Pomerium comme proxy conscient de l'identité pour une authentification zero-trust afin de sécuriser l'accès au serveur OpenClaw.

Sécurisez et Protégez OpenClaw en Seulement 2 Minutes avec l'Isolement Basé sur le Noyau Nono
Les utilisateurs d'OpenClaw peuvent désormais bénéficier d'une sécurité renforcée sans compromettre les performances, grâce à l'isolation basée sur le noyau Nono, une solution rapide et efficace qui ne prend que deux minutes.

Grande Ouverture de Griffe : Risques de Sécurité liés aux Autorisations Laxistes des Bots Discord
Un chercheur en sécurité démontre comment OpenClaw peut être exploité lorsque les utilisateurs ajoutent le bot d'assistant IA à leur serveur Discord avec des permissions excessives, ciblant les utilisateurs qui accordent un accès root/admin sans tenir compte des contrôles de sécurité.