Avec plus de 83 millions de téléchargements hebdomadaires, Axios est l’une des bibliothèques JavaScript les plus utilisées au monde. Un outil qui permet aux applications web de communiquer avec des serveurs, et que l’on retrouve dans une immense proportion des projets web modernes. C’est aussi, désormais, le vecteur d’une des supply chain attacks les plus sérieuses jamais documentées sur npm.
Dans la nuit du 30 au 31 mars 2026, deux versions piégées d’Axios ont été publiées sur la plateforme de téléchargement de paquets en l’espace de 39 minutes : [email protected] à 00h21 UTC, puis [email protected] à 01h00 UTC.
Une mécanique d’attaque préparée de longue main
Pour parvenir à une telle compromission, l’attaquant a d’abord pris le contrôle du compte du mainteneur du projet en modifiant l’adresse mail associée, la remplaçant par une adresse anonyme. Il a ensuite publié les versions malveillantes manuellement, court-circuitant le processus de vérification automatique normalement en place.
L’attaque n’a rien d’une compromission opportuniste et semble avoir été minutieusement préparée. Dix-huit heures avant de piéger Axios, l’attaquant a publié une première version anodine d’un faux paquet appelé « plain-crypto-js », uniquement pour se forger un historique de publication crédible. Ce n’est qu’ensuite qu’il a mis en ligne la version malveillante.
Ce faux paquet n’est jamais vraiment intégré à Axios. Son seul rôle est de déclencher automatiquement un script au moment de l’installation, un mécanisme tout à fait banal, ici détourné pour installer discrètement un malware conçu pour donner à l’attaquant le contrôle total de la machine infectée.
Windows, macOS et Linux sont tous les trois ciblés, chacun avec une méthode d’infection adaptée à son environnement. Une fois en place, le script s’efface lui-même et nettoie ses traces, rendant toute vérification manuelle du dossier d’installation totalement inopérante.
Ce que les développeurs doivent faire désormais
npm a depuis retiré les deux versions malveillantes de sa plateforme. Mais pour tout développeur les ayant installées pendant la fenêtre de compromission, le mal est potentiellement fait : il faut partir du principe que la machine est compromise.
La première étape est de revenir à une version saine d’Axios et de supprimer le faux paquet plain-crypto-js. Les chercheurs recommandent ensuite de vérifier manuellement la présence du malware sur le système, chaque environnement ayant ses propres emplacements à inspecter. Si quelque chose est détecté, tous les mots de passe, clés d’accès et identifiants disponibles depuis cette machine doivent être considérés comme compromis et immédiatement renouvelés.
Problème, le risque ne s’arrête pas aux machines individuelles. Les pipelines d’intégration continue, comprenez les systèmes automatisés qui compilent et déploient du code en production, sont également exposés : s’ils ont exécuté une installation d’Axios pendant la fenêtre d’attaque, ils ont pu propager le malware bien au-delà de la machine initiale.
Pour toute équipe concernée, l’audit des historiques de déploiement est une priorité absolue.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !