Google a formellement attribué la compromission du package npm Axios au groupe nord-coréen UNC1069, confirmant l'hypothèse d'une attaque supply chain étatique contre l'une des bibliothèques JavaScript les plus utilisées au monde. Avec plus de 100 millions de téléchargements hebdomadaires, Axios est le client HTTP JavaScript le plus populaire, présent dans environ 80 % des environnements cloud et de développement. L'attaque, survenue le 31 mars 2026, a reposé sur une campagne d'ingénierie sociale sophistiquée ciblant le mainteneur principal du projet, Jason Saayman. Les attaquants ont publié deux versions backdoorées — axios@1.14.1 et axios@0.30.4 — qui exécutaient automatiquement un payload malveillant sur Windows, macOS et Linux, sans aucune interaction de l'utilisateur.

En bref

  • Google attribue la compromission du package npm Axios (100M+ téléchargements/semaine) au groupe nord-coréen UNC1069
  • Les attaquants ont piégé le mainteneur via un faux workspace Slack imitant une entreprise légitime
  • Deux versions backdoorées ont déployé un RAT multiplateforme pendant 40 minutes avant détection

Comment le mainteneur a été piégé

L'attaque a débuté plusieurs semaines avant la publication des versions malveillantes. Les opérateurs d'UNC1069 ont ciblé Jason Saayman, mainteneur principal d'Axios, via une campagne d'ingénierie sociale minutieusement préparée. Ils ont créé une fausse identité d'entreprise, clonant le branding et jusqu'aux profils des fondateurs d'une société légitime, puis ont invité Saayman dans un workspace Slack frauduleux.

Ce workspace contenait des canaux réalistes avec une activité simulée, des profils fictifs se faisant passer pour des employés et d'autres mainteneurs open source. Cette mise en scène élaborée a permis aux attaquants d'obtenir les identifiants npm de Saayman. Selon BleepingComputer, la méthode exacte de compromission du compte a impliqué un faux correctif d'erreur Microsoft Teams que la victime a été amenée à exécuter.

Une fois l'accès obtenu, les attaquants ont agi avec une rapidité chirurgicale : les deux branches de release (1.x et 0.x) ont été compromises en moins de 40 minutes. Les versions malveillantes intégraient des payloads précompilés pour trois systèmes d'exploitation, avec un mécanisme d'autodestruction forensique rendant l'analyse post-incident plus complexe. Cette attaque fait écho à d'autres compromissions supply chain récentes comme le piratage de CPUID et la backdoor dans Smart Slider 3 Pro.

Pourquoi c'est important

Cette attaque illustre l'industrialisation des opérations supply chain par des acteurs étatiques. La Corée du Nord, via des groupes comme UNC1069, cible désormais systématiquement l'écosystème open source pour des motivations financières — le vol de cryptomonnaies restant une source majeure de revenus pour le régime. La compromission d'un package aussi central qu'Axios aurait pu avoir des conséquences catastrophiques si elle n'avait pas été détectée rapidement.

L'incident met également en lumière la fragilité du modèle de confiance de npm. Un seul mainteneur compromis suffit à distribuer du code malveillant à des millions de développeurs et d'environnements de production. Google et d'autres acteurs appellent à renforcer les mécanismes de signature et de vérification des packages, ainsi qu'à généraliser l'authentification matérielle pour les comptes à haute visibilité. Ce type de menace s'inscrit dans la continuité des 1 700 packages malveillants nord-coréens récemment découverts sur npm et PyPI.

Ce qu'il faut retenir

  • Vérifiez vos dépendances : si vous utilisez Axios, assurez-vous de ne pas avoir installé les versions 1.14.1 ou 0.30.4 — mettez à jour vers les versions patchées
  • Activez le lockfile strict (package-lock.json / yarn.lock) et auditez régulièrement vos dépendances avec npm audit ou des outils comme Socket.dev
  • Pour les mainteneurs de projets populaires : activez impérativement l'authentification matérielle (clé FIDO2) sur vos comptes npm et GitHub

Comment vérifier si mon projet a été affecté par la compromission d'Axios ?

Vérifiez votre fichier package-lock.json ou yarn.lock pour les versions axios@1.14.1 ou axios@0.30.4. Lancez npm audit ou yarn audit pour détecter les vulnérabilités connues. Si l'une de ces versions a été installée, considérez que l'environnement est potentiellement compromis : auditez les connexions réseau sortantes suspectes et révoquez les secrets et tokens accessibles depuis cet environnement. Pour renforcer votre posture, consultez nos recommandations sur les attaques supply chain npm.

Pourquoi la Corée du Nord cible-t-elle l'écosystème open source ?

Les groupes de hackers nord-coréens, comme UNC1069 et Lazarus, utilisent les attaques supply chain pour financer le régime, principalement via le vol de cryptomonnaies. Compromettre un package populaire comme Axios permet d'atteindre simultanément des milliers d'entreprises et de développeurs, maximisant les chances d'accéder à des portefeuilles crypto ou à des infrastructures cloud hébergeant des actifs numériques. Ces opérations sont devenues une source de revenus majeure, représentant plusieurs milliards de dollars par an selon les estimations des agences de renseignement occidentales.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact