Le package npm Axios a été compromis par le groupe nord-coréen UNC1069 via une attaque de social engineering ciblant son mainteneur. Un RAT multiplateforme a été distribué pendant trois heures.
TL;DR — En résumé
Le package npm Axios compromis par le groupe nord-coréen UNC1069 via social engineering. Un RAT multiplateforme distribué à 3 pourcent des utilisateurs.
En bref
- Le package npm Axios a été compromis via une attaque de social engineering ciblant son mainteneur, attribuée au groupe nord-coréen UNC1069.
- Deux versions vérolées (1.14.1 et 0.30.4) ont injecté un RAT multiplateforme pendant environ trois heures avant leur retrait.
- Les développeurs ayant installé ces versions doivent immédiatement vérifier leurs dépendances et révoquer tous les secrets exposés.
Ce qui s est passé
Le 31 mars 2026, deux versions piégées du package npm Axios — l une des bibliothèques HTTP les plus utilisées en JavaScript — ont été publiées sur le registre npm. Les versions 1.14.1 et 0.30.4 contenaient une dépendance malveillante nommée plain-crypto-js, qui installait un cheval de Troie d accès distant (RAT) fonctionnant sur macOS, Windows et Linux. Environ 3 % de la base d utilisateurs d Axios a téléchargé ces versions avant leur retrait, trois heures plus tard.
Le mainteneur Jason Saayman a détaillé la méthode utilisée : les attaquants l ont approché en se faisant passer pour le fondateur d une entreprise légitime et connue. Ils avaient cloné l identité du fondateur et créé un faux espace Slack aux couleurs de l entreprise. Cette ingénierie sociale sur mesure visait à obtenir les accès de publication npm du mainteneur.
Google Threat Intelligence a formellement attribué cette compromission au cluster d activité nord-coréen UNC1069, motivé financièrement. Ce groupe est déjà connu pour ses campagnes ciblant la supply chain logicielle, notamment dans l écosystème open source.
Pourquoi c est important
Axios est téléchargé des dizaines de millions de fois par semaine et constitue une brique fondamentale de nombreuses applications web et backend. Une compromission de cette bibliothèque a un effet de souffle considérable sur l ensemble de l écosystème JavaScript. Cette attaque illustre une tendance inquiétante : les acteurs étatiques nord-coréens ne se contentent plus de cibler les plateformes crypto, ils s attaquent désormais aux fondations mêmes de la supply chain logicielle mondiale.
L attaque démontre aussi les limites du modèle de confiance des registres de packages : un seul compte mainteneur compromis suffit à distribuer du code malveillant à des millions de développeurs. La sophistication de l ingénierie sociale employée — clonage d identité, faux workspace Slack — rend ces attaques particulièrement difficiles à détecter pour les mainteneurs individuels.
Ce qu il faut retenir
- Vérifiez immédiatement vos fichiers package-lock.json : si les versions Axios 1.14.1 ou 0.30.4 apparaissent, considérez votre environnement comme compromis.
- Activez l authentification multifacteur sur vos comptes npm et utilisez des tokens de publication à durée limitée.
- Les attaques supply chain par social engineering sont en forte hausse : formez vos équipes de développement à reconnaître ces tentatives d usurpation d identité.
Comment savoir si mon projet a été affecté par la compromission d Axios ?
Recherchez les versions 1.14.1 ou 0.30.4 d Axios dans vos fichiers package-lock.json ou yarn.lock. Vérifiez également la présence de la dépendance plain-crypto-js. Si vous avez installé ces versions entre le 31 mars et le 1er avril 2026, révoquez tous les secrets et tokens présents dans l environnement concerné et mettez à jour vers une version saine d Axios.
Besoin d un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Articles connexes :
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
L'ONU réunit 193 pays à Genève pour réguler l'IA
Le premier Dialogue mondial de l'ONU sur la gouvernance de l'IA s'ouvre a Geneve le 6 juillet 2026, reunissant 193 nations face aux defis de la regulation d'une technologie qui evolue plus vite que les regles censees l'encadrer.
Anthropic file vers la bourse avec 965 Md$ de valorisation
Anthropic, createur de Claude, a depose un S-1 confidentiel le 1er juin 2026 avec une valorisation de 965 milliards de dollars et des revenus passes de 9 a 47 milliards annualises en cinq mois, ciblant une introduction en bourse sur Nasdaq en octobre 2026.
LSHIY : 81 M d'attaques contournent le MFA sur M365
Une campagne de password spraying menée depuis l'AS32167 de LSHIY LLC a généré 81 millions de tentatives en deux semaines, compromettant 78 comptes M365 dans 64 organisations via un bypass du MFA par ROPC OAuth.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire