Deutsch
English
Español
Français
Nederlands
Português
Qu'est-ce que l'attaque de la chaîne d'approvisionnement Axios ?
Le 31 mars 2026, des pirates nord-coréens ont compromis le package npm Axios, affectant des milliers de développeurs et d'organisations mondiales. Cette attaque de la chaîne d'approvisionnement a impliqué la publication de versions malveillantes (1.14.1 et 0.30.4) avec une dépendance cachée 'plain-crypto-js' déployant un cheval de Troie d'accès à distance multiplateforme. Axios, avec plus de 100 millions de téléchargements hebdomadaires, est une bibliothèque JavaScript cruciale pour les requêtes HTTP.
Comment l'attaque nord-coréenne s'est déroulée
Le groupe de menace UNC1069, spécialisé dans les secteurs de la cryptomonnaie et de la finance, a compromis les identifiants d'un mainteneur Axios et publié des versions malveillantes pendant trois heures avant suppression. Selon Mandiant (Google), l'attaque a été précise.
Le mécanisme technique
Les packages compromis exécutaient un script postinstall téléchargeant le backdoor WAVESHAPER.V2, un RAT sophistiqué infectant Windows, macOS et Linux. Le malware collectait des identifiants (tokens GitHub, clés API cloud, clés SSH) et établissait des connexions persistantes.
Pourquoi la Corée du Nord cible les chaînes d'approvisionnement logicielles
Les hackers nord-coréens utilisent les cyberopérations pour financer le régime sanctionné. Selon la Maison Blanche, environ la moitié du programme de missiles est financée par le vol numérique, avec des milliards générés par les vols de cryptomonnaie. Cette attaque suit un modèle similaire à l'attaque de la chaîne d'approvisionnement SolarWinds.
Impact et échelle de la brèche
Environ 600 000 installations ont eu lieu pendant la fenêtre d'attaque de trois heures, affectant environ 3% des utilisateurs d'Axios. Le Centre national de cybersécurité néerlandais (NCSC) a émis un avertissement urgent sur l'accès aux données d'authentification. Les secteurs impactés incluent la santé, la finance, la cryptomonnaie et la technologie.
Comment se protéger contre les attaques de la chaîne d'approvisionnement
Les experts recommandent : auditer les dépendances, faire pivoter les identifiants, implémenter l'épinglage de version, activer l'authentification multifacteur et surveiller le trafic réseau. Adopter des bonnes pratiques de sécurité de la chaîne d'approvisionnement logicielle incluant SBOM et périodes de refroidissement.
Implications à long terme pour la sécurité open source
Cette attaque souligne les vulnérabilités de l'écosystème open source où un compte de mainteneur compromis peut affecter des millions d'utilisateurs. Des discussions sur la sécurité des comptes, la vérification des packages et le financement des projets critiques sont renouvelées.
Foire aux questions
Qu'est-ce qu'Axios et pourquoi a-t-il été ciblé ?
Axios est un client HTTP basé sur les promesses pour JavaScript, largement adopté avec 100M+ téléchargements hebdomadaires, idéal pour les attaques de chaîne d'approvisionnement.
Comment vérifier si mon système a été affecté ?
Vérifiez les fichiers package-lock.json ou yarn.lock pour les versions Axios 1.14.1 ou 0.30.4 et la dépendance plain-crypto-js@4.2.1, et consultez les logs d'installation du 31 mars 2026.
Que doivent faire immédiatement les organisations affectées ?
Assumer une compromission complète, faire pivoter tous les identifiants, effectuer des scans de malware et auditer les systèmes.
Les utilisateurs finaux des applications construites avec Axios sont-ils à risque ?
Non directement pendant l'exécution, mais les développeurs et environnements de construction sont à risque de vol d'identifiants.
Comment prévenir les futures attaques de la chaîne d'approvisionnement ?
Implémenter l'épinglage des dépendances, utiliser des lockfiles, activer la signature des packages, exiger MFA pour les mainteneurs, et utiliser des outils de sécurité comme Socket.dev ou Snyk.
Sources
The Hacker News : Google attribue l'attaque de la chaîne d'approvisionnement Axios NPM
CNN : Les hackers nord-coréens exécutent une attaque majeure de la chaîne d'approvisionnement
Alerte NCSC : Compromission généralisée de la chaîne d'approvisionnement affectant l'écosystème npm
Snyk : Le package NPM Axios compromis dans une attaque de la chaîne d'approvisionnement
SecurityWeek : Le package NPM Axios violé dans l'attaque nord-coréenne
Follow Discussion