Martin LéonLe 31 mars 2026, deux versions malveillantes de la bibliothèque JavaScript axios — utilisée par plus de 100 millions de projets chaque semaine — ont été publiées sur npm. Pendant près de trois heures, tout développeur ayant mis à jour vers axios@1.14.1 ou axios@0.30.4 a potentiellement installé un cheval de Troie à accès distant sur ses systèmes. Voici ce que chaque entreprise française doit vérifier sans attendre.
Ce qui s'est passé le 31 mars 2026 : une attaque chirurgicale
L'incident a débuté par une opération d'ingénierie sociale ciblée contre Jason Saayman, le mainteneur principal d'axios. Selon le post-mortem officiel publié sur GitHub, des attaquants se sont fait passer pour le fondateur d'une entreprise, ont créé un faux espace de travail Slack, puis ont convaincu Saayman de rejoindre un appel Microsoft Teams. Durant cet appel, ils l'ont incité à installer un logiciel frauduleux, lui ouvrant ainsi l'accès à son compte npm.
En quelques minutes, deux versions empoisonnées ont été publiées : axios@1.14.1 et axios@0.30.4. Ces versions injectaient une dépendance fictive baptisée plain-crypto-js@4.2.1. Son crochet postinstall téléchargeait et exécutait automatiquement un cheval de Troie à accès distant (RAT) multiplateforme, ciblant simultanément Windows, macOS et Linux.
Les versions malveillantes ont été retirées de npm en moins de trois heures. Pourtant, selon les données publiées par Huntress, au moins 135 terminaux ont contacté l'infrastructure de commande et contrôle de l'attaquant durant cette fenêtre d'exposition. Le 1er avril 2026, Google Threat Intelligence Group a attribué l'attaque à UNC1069, un acteur nord-coréen à motivation financière. Le 20 avril 2026, la CISA américaine a publié une alerte officielle appelant toutes les organisations à agir immédiatement.
Êtes-vous concerné ? Comment le vérifier
Identifier rapidement si vos systèmes ont été exposés est la priorité absolue. Trois vérifications s'imposent.
Analysez vos fichiers de verrouillage. Ouvrez vos fichiers package-lock.json ou yarn.lock et recherchez les chaînes axios@1.14.1, axios@0.30.4 ou plain-crypto-js@4.2.1. Si l'une d'elles apparaît, votre environnement est potentiellement compromis.
Contrôlez vos journaux de build. Si vos pipelines CI/CD ont exécuté npm install ou npm ci entre le 31 mars et le 2 avril 2026 en résolvant axios sans version fixée, les machines concernées doivent faire l'objet d'une investigation.
Recherchez les indicateurs de compromission (IOC). Les artefacts laissés par le RAT varient selon le système d'exploitation : /Library/Caches/com.apple.act.mond sur macOS, %PROGRAMDATA%\wt.exe sur Windows, et /tmp/ld.py sur Linux. Leur présence confirme l'exécution effective du cheval de Troie.
Si l'un de ces indicateurs est identifié, la machine doit être immédiatement isolée du réseau et considérée comme totalement compromise.
Quelles actions prendre selon votre situation
Si vos systèmes ne montrent aucun signe de compromission : rétrogradez immédiatement vers une version sûre — axios@1.14.0 pour les utilisateurs de la branche 1.x, ou axios@0.30.3 pour la branche 0.x. Vérifiez que plain-crypto-js@4.2.1 ne figure plus dans aucun de vos fichiers de dépendances.
Si votre environnement a exécuté l'une des versions malveillantes : aucun correctif logiciel ne suffit. Selon les recommandations de Microsoft Security, la machine compromise doit être réinitialisée ou restaurée depuis une sauvegarde propre antérieure au 30 mars 2026. Tous les secrets stockés ou accessibles depuis la machine — tokens, clés SSH, mots de passe, credentials API — doivent être considérés comme exposés et révoqués immédiatement.
Pour renforcer votre posture à long terme : l'ANSSI recommande de figer les versions exactes des dépendances en production (sans utiliser les préfixes ^ ou ~) et d'intégrer un audit automatique dans vos pipelines CI/CD. Des outils comme Snyk permettent de détecter ce type d'anomalie en temps quasi réel, avant même qu'un package malveillant soit installé.
Pourquoi les attaques supply chain npm sont-elles si redoutables
Contrairement aux failles classiques qui exploitent un bug dans le code source d'une application, une attaque supply chain contourne l'ensemble du processus de revue interne. L'attaquant publie du code malveillant sous l'identité d'un mainteneur de confiance, et tire parti du mécanisme d'installation automatique de npm — un mécanisme que pratiquement aucune équipe de développement ne surveille en temps réel.
Dans le cas d'axios, la bibliothèque bénéficiait d'une réputation irréprochable construite sur des années : plus de 100 millions de téléchargements hebdomadaires, intégrée dans des stacks de start-ups françaises comme de grands groupes industriels. La fenêtre d'exposition de trois heures peut sembler courte, mais elle a suffi pour toucher des centaines d'environnements dans le monde entier.
Selon l'alerte officielle de la CISA publiée le 20 avril 2026, ce type d'attaque est en forte augmentation depuis 2024 et vise désormais des composants fondamentaux de l'écosystème open source mondial.
Ce que vous risquez sans intervention : RGPD et NIS2
En France, une compromission de systèmes impliquant des données personnelles déclenche des obligations légales strictes. Le RGPD impose une notification à la CNIL dans les 72 heures suivant la découverte d'une violation. La directive NIS2, transposée en droit français, exige des opérateurs d'importance essentielle ou importante de notifier les incidents de sécurité significatifs à l'ANSSI.
Ne pas agir — ou agir trop tard — expose votre organisation à des sanctions administratives et à une mise en cause de votre responsabilité civile en cas de fuite de données clients ou partenaires.
Un expert IT peut piloter votre remédiation
La gestion d'un incident de ce type requiert une méthodologie précise : analyse forensique, isolation contrôlée, rotation des secrets, remédiation et documentation pour les obligations réglementaires. Une erreur dans l'ordre des opérations peut aggraver l'exposition ou compromettre les preuves nécessaires à d'éventuelles procédures.
Un expert en cybersécurité peut conduire un audit rapide de votre parc npm, identifier précisément les machines exposées, et vous accompagner dans toutes les étapes — de l'analyse initiale à la déclaration CNIL si nécessaire. Comme le montrent d'autres incidents récents tels que la faille DarkSword affectant iOS 18, les attaques visant la couche infrastructure sont aujourd'hui la norme, pas l'exception.
Sur Expert Zoom, des spécialistes en sécurité informatique sont disponibles pour évaluer l'impact de l'attaque axios sur votre organisation et définir un plan de remédiation adapté à votre contexte.
Note : Cet article traite d'un incident de cybersécurité actif. Les recommandations techniques sont issues de sources officielles (CISA, Microsoft Security, ANSSI). Pour toute décision engageant votre organisation, consultez un professionnel certifié.
