Romolo Tavani - stock.adobe.com

Actualites

Axios compromis : l'impact d'une intrusion nord-coréenne sur la chaîne logisitique

Le groupe UNC1069 a compromis le package Axios, l'une des bibliothèques JavaScript les plus répandues. Cette faille dans la chaîne logistique logicielle permet le déploiement d'un logiciel malveillant de type cheval de Troie d'accès distant (RAT) sur plusieurs systèmes d'exploitation.

Valéry Rieß-Marchive
par
Publié le: 01 avr. 2026

L'incident affecte Axios, un client HTTP JavaScript essentiel avec plus de 100 millions de téléchargements hebdomadaires, selon des données de Step Security. L'attaquant a pris le contrôle du compte du mainteneur, Jason Saayman, pour publier des versions infectées en contournant les pipelines d'intégration continue GitHub. Feross, Pdg de Socket Security, a qualifié cet événement de « cyberattaque active sur la chaîne logisitique » ciblant l'un des packages les plus dépendants du registre NPM.

La méthodologie de l'attaquant témoigne d'une planification rigoureuse. Contrairement à des attaques opportunistes, la phase de prépositionnement a duré 18 heures. Une version « propre », [email protected], a été publiée en premier pour créer une historique de confiance et éviter les systèmes de détection automatisés. Le code malveillant a été injecté dans la version suivante, 4.2.1. John Hultquist, analyste principal au groupe de renseignement sur les menaces Google (GTIG), attribue cette activité à un acteur nord-coréen, désigné sous le nom de code UNC1069.

Mécanique d'exécution et persistance multi-plateformes

L'infection s'active via un appel « postinstall » exécuté automatiquement lors de l'installation du package. Un script d'initialisation nommé setup.js, fortement maquillé, détecte le système d'exploitation de la victime et déploie une charge utile adaptée.

Sous Windows, le malware imite le terminal Windows légitime en copiant powershell.exe vers %PROGRAMDATA%\wt.exe et en utilisant un script VBScript pour télécharger une charge utile cachée. Sur macOS, l'exécution se fait via AppleScript, téléchargeant un binaire Mach-O vers /Library/Caches/com.apple.act.mond, un emplacement mimant un démon système légitime. Sur Linux, un script Python est exécuté en arrière-plan via la commande nohup.

Ce processus installe la porte dérobée WAVESHAPER.V2, une évolution de l'outil utilisé précédemment par UNC1069. Ce logiciel offre des capacités de RAT complètes, incluant la reconnaissance système, l'énumération des répertoires et l'exécution de commandes arbitraires. Le malware communique avec le serveur de commande et de contrôle (C2) via le domaine sfrclak.com et l'adresse IP 142.11.206.73.

La sophistication de l'attaque inclut la suppression des traces. Après l'exécution, le script supprime les artefacts malveillants comme setup.js et remplace le fichier package.json modifié par une copie saine préexistante nommée package.md. Selon Charles Carmakal, CTO chez Mandiant, cet incident « est large et s'étend à d'autres packages populaires qui en ont une dépendance ».

Impact opérationnel et directives de réponse

L'impact dépasse la simple infection logicielle. En raison de la popularité d'Axios, des centaines de milliers d'identifiants et de clés d'API ont probablement été volés. Charles Carmakal a alerté que les secrets volés de cette manière entraîneront d'autres compromissions, du vol de cryptomonnaies et des événements de rançongiciel.

Pour les responsables de la sécurité (RSSI) et les architectes informatiques, l'action prioritaire est l'identification et l'isolement immédiats des systèmes affectés. Les versions compromises sont [email protected] et [email protected]. Il est impératif de verrouiller les dépendances sur des versions antérieures sûres, comme 1.14.0 ou 0.30.3.

Pour approfondir sur DevSecOps