Le package npm Axios a été compromis par le groupe nord-coréen UNC1069 via une attaque de social engineering ciblant son mainteneur. Un RAT multiplateforme a été distribué pendant trois heures.
En bref
- Le package npm Axios a été compromis via une attaque de social engineering ciblant son mainteneur, attribuée au groupe nord-coréen UNC1069.
- Deux versions vérolées (1.14.1 et 0.30.4) ont injecté un RAT multiplateforme pendant environ trois heures avant leur retrait.
- Les développeurs ayant installé ces versions doivent immédiatement vérifier leurs dépendances et révoquer tous les secrets exposés.
Ce qui s est passé
Le 31 mars 2026, deux versions piégées du package npm Axios — l une des bibliothèques HTTP les plus utilisées en JavaScript — ont été publiées sur le registre npm. Les versions 1.14.1 et 0.30.4 contenaient une dépendance malveillante nommée plain-crypto-js, qui installait un cheval de Troie d accès distant (RAT) fonctionnant sur macOS, Windows et Linux. Environ 3 % de la base d utilisateurs d Axios a téléchargé ces versions avant leur retrait, trois heures plus tard.
Le mainteneur Jason Saayman a détaillé la méthode utilisée : les attaquants l ont approché en se faisant passer pour le fondateur d une entreprise légitime et connue. Ils avaient cloné l identité du fondateur et créé un faux espace Slack aux couleurs de l entreprise. Cette ingénierie sociale sur mesure visait à obtenir les accès de publication npm du mainteneur.
Google Threat Intelligence a formellement attribué cette compromission au cluster d activité nord-coréen UNC1069, motivé financièrement. Ce groupe est déjà connu pour ses campagnes ciblant la supply chain logicielle, notamment dans l écosystème open source.
Pourquoi c est important
Axios est téléchargé des dizaines de millions de fois par semaine et constitue une brique fondamentale de nombreuses applications web et backend. Une compromission de cette bibliothèque a un effet de souffle considérable sur l ensemble de l écosystème JavaScript. Cette attaque illustre une tendance inquiétante : les acteurs étatiques nord-coréens ne se contentent plus de cibler les plateformes crypto, ils s attaquent désormais aux fondations mêmes de la supply chain logicielle mondiale.
L attaque démontre aussi les limites du modèle de confiance des registres de packages : un seul compte mainteneur compromis suffit à distribuer du code malveillant à des millions de développeurs. La sophistication de l ingénierie sociale employée — clonage d identité, faux workspace Slack — rend ces attaques particulièrement difficiles à détecter pour les mainteneurs individuels.
Ce qu il faut retenir
- Vérifiez immédiatement vos fichiers package-lock.json : si les versions Axios 1.14.1 ou 0.30.4 apparaissent, considérez votre environnement comme compromis.
- Activez l authentification multifacteur sur vos comptes npm et utilisez des tokens de publication à durée limitée.
- Les attaques supply chain par social engineering sont en forte hausse : formez vos équipes de développement à reconnaître ces tentatives d usurpation d identité.
Comment savoir si mon projet a été affecté par la compromission d Axios ?
Recherchez les versions 1.14.1 ou 0.30.4 d Axios dans vos fichiers package-lock.json ou yarn.lock. Vérifiez également la présence de la dépendance plain-crypto-js. Si vous avez installé ces versions entre le 31 mars et le 1er avril 2026, révoquez tous les secrets et tokens présents dans l environnement concerné et mettez à jour vers une version saine d Axios.
Besoin d un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Articles connexes :
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
SEC Reg S-P : deadline de conformité le 3 juin 2026
Le 3 juin 2026, les petites entités financières américaines doivent être conformes aux amendements SEC Regulation S-P : programme de réponse à incident, notification clients sous 30 jours, clause contractuelle 72h pour les prestataires.
ChatGPT Ads Manager : OpenAI supprime le seuil de 50 000 $
OpenAI ouvre son ChatGPT Ads Manager en libre-service à toutes les entreprises américaines, supprimant le seuil de 50 000 $ et introduisant le CPC pour cibler les 500 millions d'utilisateurs hebdomadaires de l'offre gratuite.
GitHub et Grafana Labs : la brèche TanStack enfin attribuée
GitHub et Grafana Labs confirment que leurs brèches internes de mai 2026 sont imputables à la même chaîne d'attaque TanStack orchestrée par TeamPCP. Le vecteur commun : l'extension VS Code Nx Console vérolée par le ver Mini Shai-Hulud.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire