Comment la Corée du Nord a infiltré le projet Axios

Analyse de l'attaque nord‑coréenne qui a compromis le projet open source Axios, révélant les tactiques d'ingénierie sociale et les risques pour les développeurs.

Une infiltration méticuleuse

Le 31 mars, le projet open source Axios a été brièvement détourné par des pirates informatiques affiliés à la Corée du Nord. Cette compromission n’est pas le fruit d’un hasard : elle a nécessité des semaines de préparation, au cours desquelles les assaillants ont tissé un réseau de confiance avec le principal mainteneur du code.

Le jeu de la confiance

Jason Saayman, développeur à l’origine d’Axios, raconte comment les hackers se sont faits passer pour une société légitime, ont créé un espace Slack factice et ont peuplé ce dernier de faux profils. Après plusieurs échanges, ils ont invité Saayman à une réunion en ligne où, sous le couvert d’une mise à jour indispensable, ils ont injecté un logiciel malveillant.

Une technique déjà connue

Ce stratagème rappelle des attaques antérieures attribuées à Pyongyang, où les malfaiteurs incitent leurs victimes à installer un « update » qui ouvre une porte dérobée. Une fois l’accès à distance établi, ils peuvent subtiliser des clés privées, des identifiants et d’autres informations sensibles.

Impact immédiat

Deux paquets toxiques d’Axios ont été publiés pendant environ trois heures avant d’être retirés. Durant cette fenêtre, des milliers d’ordinateurs ont pu télécharger le code corrompu, exposant potentiellement leurs données à des voleurs en ligne. L’ampleur exacte de la contamination reste à déterminer, mais le risque d’escalade – via le vol de crypto‑monnaies ou l’injection de ransomwares – est réel.

Le contexte géopolitique

La Corée du Nord, sous les sanctions internationales, finance une partie de son programme nucléaire grâce aux cyber‑cambriolages, notamment le vol de crypto‑actifs estimé à plus de deux milliards de dollars en 2025. Des milliers de hackers, généralement contraints par le régime, sont mobilisés pour mener des campagnes d’ingénierie sociale longues et complexes.

Leçons pour la communauté

Cette affaire souligne la vulnérabilité des projets open source très répandus. La confiance accordée à des contributeurs extérieurs doit être accompagnée de processus de vérification rigoureux, de revues de code systématiques et d’une sensibilisation permanente aux attaques de type « social engineering ».

Source: https://techcrunch.com/2026/04/06/north-koreas-hijack-of-one-of-the-webs-most-used-open-source-projects-was-likely-weeks-in-the-making/