En bref

  • Le package npm Axios a été compromis via une attaque de social engineering ciblant son mainteneur, attribuée au groupe nord-coréen UNC1069.
  • Deux versions vérolées (1.14.1 et 0.30.4) ont injecté un RAT multiplateforme pendant environ trois heures avant leur retrait.
  • Les développeurs ayant installé ces versions doivent immédiatement vérifier leurs dépendances et révoquer tous les secrets exposés.

Ce qui s est passé

Le 31 mars 2026, deux versions piégées du package npm Axios — l une des bibliothèques HTTP les plus utilisées en JavaScript — ont été publiées sur le registre npm. Les versions 1.14.1 et 0.30.4 contenaient une dépendance malveillante nommée plain-crypto-js, qui installait un cheval de Troie d accès distant (RAT) fonctionnant sur macOS, Windows et Linux. Environ 3 % de la base d utilisateurs d Axios a téléchargé ces versions avant leur retrait, trois heures plus tard.

Le mainteneur Jason Saayman a détaillé la méthode utilisée : les attaquants l ont approché en se faisant passer pour le fondateur d une entreprise légitime et connue. Ils avaient cloné l identité du fondateur et créé un faux espace Slack aux couleurs de l entreprise. Cette ingénierie sociale sur mesure visait à obtenir les accès de publication npm du mainteneur.

Google Threat Intelligence a formellement attribué cette compromission au cluster d activité nord-coréen UNC1069, motivé financièrement. Ce groupe est déjà connu pour ses campagnes ciblant la supply chain logicielle, notamment dans l écosystème open source.

Pourquoi c est important

Axios est téléchargé des dizaines de millions de fois par semaine et constitue une brique fondamentale de nombreuses applications web et backend. Une compromission de cette bibliothèque a un effet de souffle considérable sur l ensemble de l écosystème JavaScript. Cette attaque illustre une tendance inquiétante : les acteurs étatiques nord-coréens ne se contentent plus de cibler les plateformes crypto, ils s attaquent désormais aux fondations mêmes de la supply chain logicielle mondiale.

L attaque démontre aussi les limites du modèle de confiance des registres de packages : un seul compte mainteneur compromis suffit à distribuer du code malveillant à des millions de développeurs. La sophistication de l ingénierie sociale employée — clonage d identité, faux workspace Slack — rend ces attaques particulièrement difficiles à détecter pour les mainteneurs individuels.

Ce qu il faut retenir

  • Vérifiez immédiatement vos fichiers package-lock.json : si les versions Axios 1.14.1 ou 0.30.4 apparaissent, considérez votre environnement comme compromis.
  • Activez l authentification multifacteur sur vos comptes npm et utilisez des tokens de publication à durée limitée.
  • Les attaques supply chain par social engineering sont en forte hausse : formez vos équipes de développement à reconnaître ces tentatives d usurpation d identité.

Comment savoir si mon projet a été affecté par la compromission d Axios ?

Recherchez les versions 1.14.1 ou 0.30.4 d Axios dans vos fichiers package-lock.json ou yarn.lock. Vérifiez également la présence de la dépendance plain-crypto-js. Si vous avez installé ces versions entre le 31 mars et le 1er avril 2026, révoquez tous les secrets et tokens présents dans l environnement concerné et mettez à jour vers une version saine d Axios.

Besoin d un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact