La bibliothèque Axios, l’un des composants les plus utilisés de l’écosystème JavaScript, a été victime d’une cyberattaque majeure via la chaîne d’approvisionnement npm.
Deux versions officielles, 1.14.1 et 0.30.4, ont été compromises après la prise de contrôle du compte d’un mainteneur. Les attaquants ont injecté une dépendance malveillante dans le fichier package.json, sans modifier directement le code source.
Cette technique permet de déclencher l’infection automatiquement lors d’un simple npm install, via un script exécuté en arrière-plan, rendant l’attaque particulièrement discrète.
Le malware déployé cible Windows, macOS et Linux, avec des mécanismes adaptés pour exécuter du code, maintenir un accès et exfiltrer des données sensibles.
Une fois installé, il peut voler des fichiers, enregistrer les frappes clavier et explorer les systèmes compromis, tout en effaçant ses traces.
Bien que les versions infectées aient été retirées en moins de trois heures, le risque reste élevé. Axios compte des centaines de millions de téléchargements mensuels, notamment dans des pipelines automatisés.
Ce type d’attaque illustre une faille critique de la supply chain logicielle : une dépendance compromise peut contaminer un grand nombre de projets sans interaction utilisateur.
Les équipes techniques sont invitées à auditer leurs dépendances et à figer des versions saines pour limiter tout risque de compromission.
À noter également que Claude Code qui a révélé son code source aujourd’hui utilise cette librairie.