Des hackers nord-coréens ont infecté Axios, bibliothèque JavaScript incontournable avec 100 millions de téléchargements hebdomadaires, en compromettant le compte de son développeur principal. Cette attaque supply chain a généré 600 000 installations malveillantes en trois heures, avant d'être stoppée par SentinelOne.
C'est sans doute l'une des attaques supply chain les plus rapides jamais documentées. Des hackers nord-coréens ont pris le contrôle du compte npm du mainteneur principal d'Axios, concrètement, les clés qui permettent de publier des mises à jour de cette bibliothèque HTTP utilisée dans 80 % des environnements cloud. Ils en ont profité pour glisser un cheval de Troie dans deux nouvelles versions du package, avec un logiciel espion qui s'installe seul, en silence, sur Windows, macOS et Linux. En trois heures, 600 000 téléchargements ont été enregistrés. Jusqu'à ce que l'IA de SentinelOne coupe court à l'hémorragie.
Axios piégé : comment la Corée du Nord a retourné l'open source contre ses utilisateurs
L'attaque du 31 mars 2026 commence par une prise de contrôle discrète. En mettant la main sur le compte npm du mainteneur principal d'Axios, npm étant la plateforme où les développeurs publient et récupèrent des briques logicielles, les hackers nord-coréens ont obtenu quelque chose d'inestimable, à savoir le droit de publier des mises à jour au nom d'une bibliothèque en laquelle des millions de projets ont une confiance totale et automatique.
Deux versions corrompues d'Axios sont immédiatement mises en ligne. Chacune embarque discrètement un cheval de Troie d'accès à distance, un logiciel malveillant qui, une fois installé, ouvre une porte dérobée sur la machine de la victime. Ce dernier permet aux attaquants d'en prendre le contrôle à distance, sur Windows, macOS et Linux, sans que l'utilisateur n'ait rien à faire. En trois heures à peine, 600 000 téléchargements sont enregistrés, comme l'explique SentinelOne.
Le logiciel malveillant était bien caché dans une dépendance fantôme, autrement dit, un composant discret ajouté en coulisses, invisible au premier regard. Une fois actif, il pouvait télécharger et exécuter d'autres programmes malveillants, communiquer avec un serveur contrôlé par les attaquants et subtiliser des données sensibles. Cerise sur le gâteau, il effaçait ensuite ses propres traces en remplaçant les fichiers infectés par des versions d'apparence normale, rendant sa détection pratiquement impossible pour un antivirus classique.
En 89 secondes chrono, le mal était fait
La première machine infectée l'a été 89 secondes seulement après la mise en ligne des versions corrompues. À cette vitesse, aucune équipe de sécurité humaine n'aurait pu réagir à temps. C'est là qu'est intervenue le spécialiste cyber SentinelOne. L'entreprise, sans avoir été préalablement « briefée » sur ce malware inédit (pas de signature connue, pas d'alerte configurée), indique avoir détecté et bloqué l'attaque seule, en temps réel, de manière entièrement automatique.
Plutôt que d'inspecter les fichiers que le malware avait justement pris soin de rendre irréprochables, la plateforme a observé en temps réel ce que faisaient les programmes en cours d'exécution. Un comportement suspect, une action inhabituelle, et l'alerte est immédiate. C'est précisément ce que le malware n'avait pas prévu, et ce qui a permis de couper court à l'attaque avant qu'elle ne se propage.
Cet incident est un signe de l'évolution inquiétante des cybermenaces. Plutôt que d'attaquer frontalement des systèmes protégés, les hackers ciblent désormais les briques logicielles open source sur lesquelles reposent des millions d'applications, profitant de la confiance automatique que les développeurs leur accordent. Des attaques capables de se propager en quelques dizaines de secondes, contre lesquelles les défenses traditionnelles et les humains sont tout simplement trop lents. La cybersécurité pilotée par l'IA, capable de réagir à la vitesse de la machine, s'impose donc moins comme une option que comme une évidence.
