● Numerama 📅 31/03/2026 à 10:39

Cybersécurité 👤 Amine Baba Aissa

🏷️ Tags : supply chain attack chine pm pto

Lecture Zen Résumer l'article Deux versions compromises de la bibliothèque JavaScript très populaire axios ont été publiées sur npm, exploitant un compte développeur volé pour diffuser un logiciel espion ciblant Windows, macOS et Linux. L'attaque a été stratégiquement préparée avec la création d'un faux paquet "plain-crypto-js" pour établir un historique crédible avant de publier les versions malveillantes et déclencher un script lors de l'installation. Suite au retrait des versions piégées par npm, les développeurs concernés sont invités à revoir leurs installations d'axios, auditer leurs systèmes, et renouveler les identifiants compromis pour limiter les dommages. Deux versions compromises de la bibliothèque JavaScript très populaire axios ont été publiées sur npm, exploitant un compte développeur volé pour diffuser un logiciel espion ciblant Windows, macOS et Linux. L'attaque a été stratégiquement préparée avec la création d'un faux paquet "plain-crypto-js" pour établir un historique crédible avant de publier les versions malveillantes et déclencher un script lors de l'installation. Suite au retrait des versions piégées par npm, les développeurs concernés sont invités à revoir leurs installations d'axios, auditer leurs systèmes, et renouveler les identifiants compromis pour limiter les dommages. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Dans la nuit du 30 au 31 mars 2026, deux versions piégées d’Axios ont été publiées sur npm, la plateforme de distribution de code la plus utilisée au monde par les développeurs. Derrière l’attaque, un compte développeur volé, un logiciel espion capable d’infecter Windows, macOS et Linux, et un mécanisme conçu pour effacer toute trace après infection. Avec plus de 83 millions de téléchargements hebdomadaires, Axios est l’une des bibliothèques JavaScript les plus utilisées au monde. Un outil qui permet aux applications web de communiquer avec des serveurs, et que l’on retrouve dans une immense proportion des projets web modernes. C’est aussi, désormais, le vecteur d’une des supply chain attacks les plus sérieuses jamais documentées sur npm. Dans la nuit du 30 au 31 mars 2026, deux versions piégées d’Axios ont été publiées sur la plateforme de téléchargement de paquets en l’espace de 39 minutes : [email protected] à 00h21 UTC, puis [email protected] à 01h00 UTC. Une mécanique d’attaque préparée de longue main Pour parvenir à une telle compromission, l’attaquant a d’abord pris le contrôle du compte du mainteneur du projet en modifiant l’adresse mail associée, la remplaçant par une adresse anonyme. Il a ensuite publié les versions malveillantes manuellement, court-circuitant le processus de vérification automatique normalement en place. Faux SMS, mails frauduleux… Ne tombez plus dans le piège ! Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security. Sponsorisé Je me protège contre les arnaques. L’attaque n’a rien d’une compromission opportuniste et semble avoir été minutieusement préparée. Dix-huit heures avant de piéger Axios, l’attaquant a publié une première version anodine d’un faux paquet appelé « plain-crypto-js », uniquement pour se forger un historique de publication crédible. Ce n’est qu’ensuite qu’il a mis en ligne la version malveillante. npm est une plateforme où les développeurs publient et téléchargent des briques de code prêtes à l’emploi pour construire leurs applications. // Source : Montage Numerama Ce faux paquet n’est jamais vraiment intégré à Axios. Son seul rôle est de déclencher automatiquement un script au moment de l’installation, un mécanisme tout à fait banal, ici détourné pour installer discrètement un malware conçu pour donner à l’attaquant le contrôle total de la machine infectée. Windows, macOS et Linux sont tous les trois ciblés, chacun avec une méthode d’infection adaptée à son environnement. Une fois en place, le script s’efface lui-même et nettoie ses traces, rendant toute vérification manuelle du dossier d’installation totalement inopérante. Ce que les développeurs doivent faire désormais npm a depuis retiré les deux versions malveillantes de sa plateforme. Mais pour tout développeur les ayant installées pendant la fenêtre de compromission, le mal est potentiellement fait : il faut partir du principe que la machine est compromise. La première étape est de revenir à une version saine d’Axios et de supprimer le faux paquet plain-crypto-js. Les chercheurs recommandent ensuite de vérifier manuellement la présence du malware sur le système, chaque environnement ayant ses propres emplacements à inspecter. Si quelque chose est détecté, tous les mots de passe, clés d’accès et identifiants disponibles depuis cette machine doivent être considérés comme compromis et immédiatement renouvelés. Problème, le risque ne s’arrête pas aux machines individuelles. Les pipelines d’intégration continue, comprenez les systèmes automatisés qui compilent et déploient du code en production, sont également exposés : s’ils ont exécuté une installation d’Axios pendant la fenêtre d’attaque, ils ont pu propager le malware bien au-delà de la machine initiale. Pour toute équipe concernée, l’audit des historiques de déploiement est une priorité absolue. Votre VPN préféré n'est pas celui que vous croyez Quels sont les meilleurs VPN en 2026 ? Notre comparatif Retrouvez notre comparateur pour choisir le meilleur VPN Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Pour ne rien manquer de l’actualité, suivez Numerama sur Google ! Crédit photo de la une : montage Numerama Signaler une erreur dans le texte Ne plus voir cette pub Ne plus voir cette pub cybersécurité hack npm Cybercriminalité Hygiène numérique

🔗 Lire l'article original 👁️ 1 lecture