Le client HTTP surnommé Axios, téléchargé plus de 80 millions de fois par semaine, a été victime d’une attaque de la chaîne d’approvisionnement. Des cybercriminels ont compromis le compte du mainteneur principal du projet pour y injecter plain-crypto-js, une dépendance malveillante utilisée pour déployer un Cheval de Troie. Voici ce que l’on sait.

• Piratage de LiteLLM : des millions d’utilisateurs Python sous la menace de TeamPCP

Attention à ces deux versions d’Axios infectées

En ciblant Jason Saayman, le mainteneur d’Axios, les pirates ont réussi à compromettre deux de ses comptes : npm et GitHub. D’après un rapport publié par OpenSourceMalware, voici comment s’est déroulée cette cyberattaque survenue entre le 30 et le 31 mars 2026 :

• Le paquet piégé : les cybercriminels ont créé un paquet malveillant nommé . L’utilisation de ce nom n’est pas un hasard, et c’est même un bel exemple de typosquatting visant à tromper la vigilance des développeurs habitués au paquet .
• L’injection dans Axios : une fois les accès de Jason Saayman volés, les attaquants ont publié deux versions compromises d’Axios : et . Le paquet malveillant a été ajouté en tant que dépendance.
• Le camouflage : pour gagner du temps et tenter d’infecter un maximum de personnes, les pirates ont profité de leurs privilèges sur GitHub pour supprimer les tickets signalant la compromission d’Axios.

Il est à noter que ces versions malveillantes ont été poussées via le client en ligne de commande de npm. Ainsi, ces versions n’ont pas été associées à la signature habituellement générée par les flux GitHub Actions (workflow habituel pour la publication d’une release).

“L’attaquant a piraté les comptes npm et GitHub de jasonsaayman. Les données du registre npm confirment que l’adresse e-mail du compte a été modifiée pour devenir [email protected]. Sur GitHub, l’attaquant a utilisé ses privilèges d’administrateur pour désépingler et supprimer un ticket signalant le piratage, alors même que le collaborateur DigitalBrainJS tentait activement d’y répondre.”, peut-on lire.

Au total, toutes ces opérations ont été effectuées dans un laps de temps réduit. D’après OpenSourceMalware, la fenêtre de diffusion de ces deux versions malveillantes a été de 3 heures et 19 minutes. C’est la durée qui s’est écoulée entre la publication de la première version malveillante et sa suppression par le mainteneur du projet.

Des charges utiles adaptées à chaque OS

Le cœur de cette attaque réside dans la fausse dépendance ajoutée par les pirates : . En exploitant la fonctionnalité légitime des hooks de npm, le code malveillant s’exécute automatiquement (en toute transparence) avec les privilèges du développeur qui installe le paquet sur sa machine.

Le script malveillant joue le rôle de loader sur la machine infectée. Une fois en place, il contacte le serveur C2 pour télécharger un logiciel malveillant de type RAT Trojan, c’est-à-dire un malware offrant un accès à distance.

Surtout, cette menace s’adapte au système d’exploitation de la machine :

• Sous Windows : un script PowerShell crée une clé de registre “MicrosoftUpdate” et injecte ses bibliothèques DLL directement dans la mémoire vive sans jamais altérer le disque de la machine.
• Sous Linux : un script Python est utilisé, et il commence par mener une reconnaissance du système (matériel, temps de démarrage), traque les processus en cours, et offre aux pirates la possibilité d’exécuter du code arbitraire. Il est enregistré sous : .
• Sous macOS : un binaire universel Mach-O (de 643 Ko) est déployée dans sous le nom de . Dès son exécution, ce malware cherche à exfiltrer les données des répertoires utilisateurs (Documents, Bureau, etc.).

Cette compromission d’Axios prouve une nouvelle fois que les postes de travail des développeurs sont des cibles prioritaires. Si vous utilisez Axios, vous devez impérativement revenir à l’une de ces deux versions : ou .

Par ailleurs, même si Axios ne vous dit peut-être rien, la popularité de ce projet parle d’elle-même. Il n’est pas impossible que l’une de vos applications Web s’appuie sur ce client HTTP. “Ce qui rend cette attaque remarquable n’est pas seulement sa sophistication technique, mais son rayon d’action potentiel.”, souligne OpenSourceMalware, à juste titre.

Source