Un piratage surprise du paquet Axios
Dans la nuit du lundi au mardi, un acteur hostile a réussi à infiltrer le projet open source le plus utilisé pour les requêtes HTTP en JavaScript : Axios. En quelques heures, ce code, téléchargé des dizaines de millions de fois chaque semaine via le registre npm, a été remplacé par une version corrompue contenant un cheval de Troie d’accès distant (RAT). Le détournement a été détecté rapidement, mais il a exposé la communauté mondiale des développeurs à un risque inédit.
Comment l’intrus a infiltré la chaîne d’approvisionnement
Le pirate a compromis le compte d’un contributeur principal d’Axios, celui qui possède les droits nécessaires pour publier de nouvelles versions. En modifiant l’adresse e‑mail associée au compte, il a rendu la restauration difficile pour l’auteur légitime. Une fois le contrôle obtenu, il a injecté du code malveillant dans les packages destinés aux systèmes Windows, macOS et Linux. Le malware était soigneusement camouflé : il s’efface automatiquement après l’installation, réduisant ainsi sa visibilité aux outils anti‑malware et aux analystes.
Conséquences potentielles pour les développeurs
Quiconque a téléchargé la version infectée d’Axios pendant la brève fenêtre de trois heures peut être considéré comme compromis. Les experts de la société de cybersécurité Aikido conseillent de supposer que chaque système touché a été infiltré, même si aucune infection n’est encore détectée. Un RAT donne à l’attaquant un contrôle total à distance, permettant l’exfiltration de données, le détournement de ressources informatiques ou l’installation de logiciels additionnels, y compris des cryptomonnaies volées.
Attribution à la Corée du Nord et perspectives
Google Threat Intelligence a identifié le groupe derrière l’incident comme UNC1069, une unité liée au régime nord‑coréen. Historique de ces acteurs : ils maîtrisent les attaques de chaîne d’approvisionnement pour financer leurs programmes de cyber‑espionnage et de vol de crypto‑actifs. Bien que l’ampleur exacte de l’incident reste à confirmer, la popularité d’Axios laisse présager une portée très large, comparable aux scandales SolarWinds ou Log4j. Les observateurs appellent à renforcer les processus de vérification d’identité et à instaurer des politiques de signatures cryptographiques plus strictes pour les contributions open source.
En attendant, les organisations sont invitées à auditer leurs dépendances npm, à mettre à jour les versions d’Axios avec les correctifs officiels et à surveiller les indicateurs de compromission sur leurs réseaux. Cette intrusion rappelle que la sécurité des chaînes logicielles ne se limite pas aux boutures finales ; elle commence dès le dépôt de code source.
