Un coup dur pour l'écosystème JavaScript : la bibliothèque cliente HTTP Axios, largement utilisée, a été victime d'une attaque de la chaîne d'approvisionnement les 30 et 31 mars 2026. Les attaquants ont détourné les identifiants npm d'un mainteneur principal et publié deux versions malveillantes du package, installant silencieusement un cheval de Troie d'accès à distance (RAT) multiplateforme sur les machines des développeurs. Axios, téléchargé des centaines de millions de fois par semaine, est au cœur des requêtes API d'innombrables applications web et Node.js. Les versions compromises – axios@1.14.1 et axios@0.30.4 – introduisaient une dépendance cachée nommée plain-crypto-js@4.2.1. Ce package exécutait un script post-installation agissant comme un dropper RAT sophistiqué, capable d'infecter les systèmes Windows, macOS et Linux. Après s'être connecté à un serveur de commande et de contrôle et avoir délivré sa charge utile, le malware s'effaçait et remplaçait son fichier package.json par une version saine, rendant sa détection extrêmement difficile.
Les chercheurs en sécurité de StepSecurity, Snyk et Socket.dev ont été parmi les premiers à identifier et à divulguer publiquement l'attaque. Les versions malveillantes ont été retirées de npm en quelques heures, et la dernière version légitime (1.14.0) reste intacte.
Qui a été touché ?
Tout développeur ou projet ayant exécuté des commandes telles que `npm install`, `yarn install`, `pnpm install` ou similaires pendant la période de disponibilité des versions infectées (environ deux heures les 30 et 31 mars) et utilisant des plages de versions imprécises comme `^1.14.0` ou `^0.30.0` dans son fichier `package.json`. L'attaque ayant été furtive, de nombreuses victimes ignorent peut-être encore que leurs machines ont été compromises. Que faire immédiatement ?
Vérifiez vos fichiers package.json et lockfiles (package-lock.json, yarn.lock, pnpm-lock.yaml) pour toute référence aux versions axios 1.14.1 ou 0.30.4.
Supprimez votre dossier node_modules et votre fichier de verrouillage, puis réinstallez en utilisant une version sûre épinglée (par exemple, "axios": "^1.14.0").
Analysez vos systèmes à la recherche d'activités suspectes, en particulier les connexions sortantes des processus Node.js.
Envisagez d'utiliser des outils comme npm audit, Socket.dev ou Snyk pour analyser les dépendances.
L'équipe Axios n'a pas encore publié de déclaration officielle, hormis des mises à jour internes concernant l'intégration continue. Cependant, la réaction rapide de la communauté de sécurité open source a permis de limiter les dégâts. Cet incident souligne les risques croissants au sein de l'écosystème npm et l'importance d'un contrôle strict des versions, de fichiers de verrouillage et d'outils de sécurité pour la chaîne d'approvisionnement. Il est conseillé aux développeurs de rester vigilants et de suivre les canaux officiels d'Axios (GitHub et npm) pour les dernières informations. Sources : StepSecurity, The Hacker News, Snyk, Socket.dev et le dépôt GitHub d'Axios.
