Le package npm Axios a été compromis par le groupe nord-coréen UNC1069 via une attaque de social engineering ciblant son mainteneur. Un RAT multiplateforme a été distribué pendant trois heures.
En bref
- Le package npm Axios a été compromis via une attaque de social engineering ciblant son mainteneur, attribuée au groupe nord-coréen UNC1069.
- Deux versions vérolées (1.14.1 et 0.30.4) ont injecté un RAT multiplateforme pendant environ trois heures avant leur retrait.
- Les développeurs ayant installé ces versions doivent immédiatement vérifier leurs dépendances et révoquer tous les secrets exposés.
Ce qui s est passé
Le 31 mars 2026, deux versions piégées du package npm Axios — l une des bibliothèques HTTP les plus utilisées en JavaScript — ont été publiées sur le registre npm. Les versions 1.14.1 et 0.30.4 contenaient une dépendance malveillante nommée plain-crypto-js, qui installait un cheval de Troie d accès distant (RAT) fonctionnant sur macOS, Windows et Linux. Environ 3 % de la base d utilisateurs d Axios a téléchargé ces versions avant leur retrait, trois heures plus tard.
Le mainteneur Jason Saayman a détaillé la méthode utilisée : les attaquants l ont approché en se faisant passer pour le fondateur d une entreprise légitime et connue. Ils avaient cloné l identité du fondateur et créé un faux espace Slack aux couleurs de l entreprise. Cette ingénierie sociale sur mesure visait à obtenir les accès de publication npm du mainteneur.
Google Threat Intelligence a formellement attribué cette compromission au cluster d activité nord-coréen UNC1069, motivé financièrement. Ce groupe est déjà connu pour ses campagnes ciblant la supply chain logicielle, notamment dans l écosystème open source.
Pourquoi c est important
Axios est téléchargé des dizaines de millions de fois par semaine et constitue une brique fondamentale de nombreuses applications web et backend. Une compromission de cette bibliothèque a un effet de souffle considérable sur l ensemble de l écosystème JavaScript. Cette attaque illustre une tendance inquiétante : les acteurs étatiques nord-coréens ne se contentent plus de cibler les plateformes crypto, ils s attaquent désormais aux fondations mêmes de la supply chain logicielle mondiale.
L attaque démontre aussi les limites du modèle de confiance des registres de packages : un seul compte mainteneur compromis suffit à distribuer du code malveillant à des millions de développeurs. La sophistication de l ingénierie sociale employée — clonage d identité, faux workspace Slack — rend ces attaques particulièrement difficiles à détecter pour les mainteneurs individuels.
Ce qu il faut retenir
- Vérifiez immédiatement vos fichiers package-lock.json : si les versions Axios 1.14.1 ou 0.30.4 apparaissent, considérez votre environnement comme compromis.
- Activez l authentification multifacteur sur vos comptes npm et utilisez des tokens de publication à durée limitée.
- Les attaques supply chain par social engineering sont en forte hausse : formez vos équipes de développement à reconnaître ces tentatives d usurpation d identité.
Comment savoir si mon projet a été affecté par la compromission d Axios ?
Recherchez les versions 1.14.1 ou 0.30.4 d Axios dans vos fichiers package-lock.json ou yarn.lock. Vérifiez également la présence de la dépendance plain-crypto-js. Si vous avez installé ces versions entre le 31 mars et le 1er avril 2026, révoquez tous les secrets et tokens présents dans l environnement concerné et mettez à jour vers une version saine d Axios.
Besoin d un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Microsoft force la mise à jour vers Windows 11 25H2 sur les PC non gérés
Microsoft lance la mise à jour forcée de Windows 11 24H2 vers 25H2 pour les PC non gérés, avant la fin de support prévue en octobre 2026.
Affinity : une fuite de données expose 175 000 utilisateurs du forum
Serif confirme une fuite de données touchant 175 000 membres du forum Affinity. Emails et adresses IP exposés après la compromission d un compte admin.
React2Shell : 766 serveurs Next.js compromis, credentials volés
CVE-2025-55182 (CVSS 10.0) : 766 serveurs Next.js compromis via React2Shell. Vol automatisé de credentials cloud, clés API et secrets via le framework C2 NEXUS Listener.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire