● Siècle Digital 📅 02/04/2026 à 14:34

Des hackers liés à la Corée du Nord ont piégé des développeurs du monde entier

Géopolitique 👤 Jennifer Larcher
Illustration
Cybersécurité Des hackers liés à la Corée du Nord ont piégé des développeurs du monde entier Le 31 mars 2026, deux versions d'Axios, l'une des bibliothèques JavaScript les plus utilisées au monde, ont été piégées sur npm pour déployer un cheval de Troie. Par Jennifer Larcher Publié le 2 avril 2026 à 14h34 La bibliothèque JavaScript, qui gère les requêtes réseau dans les applications web, est installée des millions de fois par semaine sur npm. Cette banalité en fait une cible parfaite. Si vous réussissez à la compromettre, vous touchez en même temps des milliers d’environnements de développement dans le monde entier. Cela se produit sans que vous ayez besoin de cibler une entreprise. Les opérateurs d’UNC1069 ont agi de cette façon. Une attaque construite sur la durée Les attaquants ont dans un premier temps publié sur npm une dépendance externe appelée plain-crypto-js dans une version parfaitement saine. L’objectif était de la rendre crédible aux yeux des systèmes de sécurité et des développeurs. Quelques jours plus tard, cette version a été remplacée par une version malveillante. Celle-ci contenait un script d’installation dissimulé baptisé SILKBELL. 📩 L’actu digitale évolue vite. Restez à jour.Recevez la newsletter quotidienne, gratuitement. En vous inscrivant vous acceptez notre politique de protection des données personnelles. SILKBELL agit comme un dropper, un composant intermédiaire dont le seul rôle est de détecter le système d’exploitation de la machine cible et de déposer la charge finale adaptée. MacOS, Windows, Linux, l’attaque couvrait les trois plateformes à partir du même point d’entrée. La charge finale, baptisée WAVESHAPER V2 par les chercheurs du Google Threat Intelligence Group (GTIG), est une évolution d’un malware déjà associé à UNC1069 dans des campagnes antérieures. Un cheval de Troie conçu pour effacer ses traces Une fois déployé, WAVESHAPER V2 se comporte comme un cheval de Troie d’accès à distance. Il peut exécuter des commandes, parcourir l’arborescence de fichiers, injecter d’autres binaires et il se reconnecte régulièrement à un serveur de commande pour recevoir des instructions. Le mode de communication avec ce serveur, les intervalles de reconnexion et les répertoires temporaires utilisés correspondent précisément aux signatures déjà documentées du groupe UNC1069. La dissimulation permet toutefois de différencier cette opération des attaques de supply chain classiques. Le script SILKBELL a tenté de s’auto-supprimer après exécution. Les fichiers de configuration modifiés pendant l’infection ont été remplacés par des versions nettoyées pour masquer toutes les traces. Comment les développeurs doivent-ils réagir&nbsp? Les versions compromises d’Axios sont les 1.14.1 et 0.30.4, ainsi que les versions 4.2.0 et 4.2.1 de plain-crypto-js. La priorité est de vérifier si ces versions apparaissent dans les arbres de dépendances, de rétrograder immédiatement vers une version saine. Vous devez aussi révoquer tous les secrets potentiellement exposés (tokens npm, clés d’API, identifiants GitHub, certificats, variables d’environnement). Sur un poste de développement, quelques minutes d’accès suffisent pour exfiltrer l’ensemble des données. Pour aller plus loin IPTV illégale : les premières amendes tombent en FranceLe streaming illégal recule en France… mais 7,7 millions d’internautes continuent d’y recourirCyberattaque mondiale : WhatsApp et Signal attaqués par des hackers russesPiratage de livres : Anna’s Archive attaquée par 13 grands éditeursCyberattaque massive contre un logiciel médical : jusqu’à 15 millions de Français concernésProtonVPN contraint de bloquer 31 sites de streaming illégal en France Google piratage
← Retour