Dans la nuit du 30 au 31 mars 2026, deux versions piégées d’Axios ont été publiées sur npm, la plateforme de distribution de code la plus utilisée au monde par les développeurs. De plus, derrière l’attaque, un compte développeur volé, un logiciel espion capable d’infecter Windows, macOS et Linux, et un mécanisme conçu pour effacer toute trace après infection.

Avec plus de 83 millions de téléchargements hebdomadaires,Axiosest l’une des bibliothèques JavaScript les plus utilisées au monde. En effet, Un outil qui permet aux applications web de communiquer avec des serveurs, et que l’on retrouve dans une immense proportion des projets web modernes. De plus, c’est aussi, désormais, le vecteur d’une dessupply chain attacksles plus sérieuses jamais documentées surnpm.

Dans la nuit du30 au 31 mars 2026, deux versions piégées d’Axios ont été publiées sur la plateforme de téléchargement de paquets en l’espace de 39 minutes :[email protected]à 00h21 UTC, puis[email protected]à 01h00 UTC.

L'essentiel : Une mécanique d’attaque préparée de longue main

Pour parvenir à une telle compromission, l’attaquant a d’abord pris le contrôle du compte du mainteneur du projet en modifiant l’adresse mail associée, la remplaçant par une adresse anonyme. De plus, il a ensuite publié les versions malveillantes manuellement, court-circuitant le processus de vérification automatique normalement en place.

Faux SMS, mails frauduleux… Ne tombez plus dans le piège !

Gardez toujours une longueur d’avance sur les fraudeurs. On apprend également que bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. En effet, Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security.

L’attaque n’a rien d’une compromission opportuniste et semble avoir été minutieusement préparée. Il faut souligner que dix-huit heures avant de piéger Axios, l’attaquant a publié une première version anodine d’un faux paquet appelé «plain-crypto-js», uniquement pour se forger un historique de publication crédible. On apprend également que ce n’est qu’ensuite qu’il a mis en ligne la version malveillante.

npm est la principale plateforme où les développeurs publient et téléchargent des briques de code prêtes à l'emploi pour construire leurs applications. // Source : Montage Numerama
npm est une plateforme où les développeurs publient et téléchargent des briques de code prêtes à l’emploi pour construire leurs applications. // Source : Montage Numerama

Ce faux paquet n’est jamais vraiment intégré à Axios. Fait notable, son seul rôle est de déclencher automatiquement un script au moment de l’installation, un mécanisme tout à fait banal, ici détourné pour installer discrètement un malware conçu pour donner à l’attaquant le contrôle total de la machine infectée.

Windows, macOS et Linux sont tous les trois ciblés, chacun avec une méthode d’infection adaptée à son environnement. Il faut souligner que Une fois en place, le script s’efface lui-même et nettoie ses traces, rendant toute vérification manuelle du dossier d’installation totalement inopérante.

Focus : Ce que les développeurs doivent faire désormais

npm a depuis retiré les deux versions malveillantes de sa plateforme. Il faut souligner que mais pour tout développeur les ayant installées pendant la fenêtre de compromission, le mal est potentiellement fait : il faut partir du principe que la machine est compromise.

La première étape est de revenir à une version saine d’Axios et de supprimer le faux paquet plain-crypto-js. Selon les informations disponibles, Les chercheurs recommandent ensuite de vérifier manuellement la présence du malware sur le système, chaque environnement ayant ses propres emplacements à inspecter. De plus, si quelque chose est détecté, tous les mots de passe, clés d’accès et identifiants disponibles depuis cette machine doivent être considérés comme compromis et immédiatement renouvelés.

Problème, le risque ne s’arrêtepas aux machines individuelles. Notons que Les pipelines d’intégration continue, comprenez les systèmes automatisés qui compilent et déploient du code en production, sont également exposés : s’ils ont exécuté une installation d’Axios pendant la fenêtre d’attaque, ils ont pu propager lemalwarebien au-delà de la machine initiale.

Pour toute équipe concernée, l’audit des historiques de déploiement est une priorité absolue.

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !