Le 31 mars 2026, un piratage important a été découvert sur npm, la plateforme de distribution de code la plus utilisée au monde par les développeurs. Selon Numerama, deux versions compromises de la bibliothèque JavaScript très populaire Axios ont été publiées sur la plateforme en pleine nuit, exploitant un compte développeur volé pour diffuser un logiciel espion ciblant Windows, macOS et Linux.

Ce qu'il faut retenir

  • Deux versions compromises d'Axios ont été publiées sur npm en pleine nuit, les 30 et 31 mars 2026.
  • L'attaque a utilisé un compte développeur volé pour diffuser un logiciel espion ciblant Windows, macOS et Linux.
  • Les versions compromises ont été retirées de la plateforme, mais les développeurs concernés sont invités à revoir leurs installations d'Axios et à auditer leurs systèmes.

L'attaque a été stratégiquement préparée avec la création d'un faux paquet « plain-crypto-js » pour établir un historique crédible avant de publier les versions malveillantes et déclencher un script lors de l'installation. L'attaque n'a rien d'une compromission opportuniste et semble avoir été minutieusement préparée.

Comment l'attaque a été préparée

Ten jours avant l'attaque, l'attaquant a publié une première version anodine d'un faux paquet appelé « plain-crypto-js », uniquement pour se forger un historique de publication crédible. Ce n'est qu'ensuite qu'il a mis en ligne la version malveillante.

L'attaquant a ensuite utilisé le compte développeur volé pour publier les versions compromises d'Axios, court-circuitant le processus de vérification automatique normalement en place.

L'impact de l'attaque

Les versions compromises d'Axios ont été retirées de la plateforme, mais les développeurs concernés sont invités à revoir leurs installations d'Axios et à auditer leurs systèmes. Les chercheurs recommandent également de supprimer le faux paquet « plain-crypto-js » et de vérifier manuellement la présence du malware sur le système.

Si quelque chose est détecté, tous les mots de passe, clés d'accès et identifiants disponibles depuis cette machine doivent être considérés comme compromis et immédiatement renouvelés.

Et maintenant ?

Les développeurs concernés doivent prendre des mesures pour protéger leurs systèmes et leurs données. Ils doivent également auditer leurs historiques de déploiement pour s'assurer que le malware n'a pas été propagé à d'autres systèmes.

La plateforme npm doit également prendre des mesures pour empêcher de telles attaques à l'avenir.

Axios est une bibliothèque JavaScript très populaire utilisée pour les communications réseau dans les applications web. C'est un outil essentiel pour de nombreux développeurs.

Il est essentiel de suivre les recommandations des chercheurs pour auditer vos systèmes et vos données. Vous devez également mettre à jour vos applications et vos bibliothèques pour les protéger contre les vulnérabilités connues.

La sécurité des systèmes et des données est un problème crucial pour les développeurs et les entreprises. Il est essentiel de prendre des mesures pour protéger contre de telles attaques et de garantir la sécurité des systèmes et des données.