Attaque npm : deux versions piégées d'Axios diffusent un malware multiplateforme

Dans la nuit du 30 au 31 mars 2026, la plateforme npm, essentielle à l'écosystème JavaScript mondial, a été infiltrée par une attaque ciblée. Deux versions malveillantes de la bibliothèque Axios, un outil de requêtes HTTP extrêmement populaire, ont été publiées via un compte de développeur compromis. Cette opération nocturne visait à diffuser un logiciel espion sophistiqué, conçu pour infecter indistinctement les systèmes Windows, macOS et Linux.

L'attaque repose sur un mécanisme d'effacement des traces post-infection, indiquant une opération délibérée pour rester furtive. Le malware, dissimulé dans des mises à jour apparemment légitimes, pouvait potentiellement atteindre des millions de projets dépendants d'Axios. L'incident expose une vulnérabilité critique dans la chaîne d'approvisionnement logicielle : la compromission d'un seul compte de mainteneur peut contaminer une dépendance fondamentale, utilisée par d'innombrables applications et entreprises.

Cette intrusion place sous une pression intense les équipes de sécurité des organisations qui dépendent de npm pour leur infrastructure. Elle relance le débat sur la sécurisation des registres de paquets publics et la vérification de l'intégrité des dépendances. Pour les développeurs, l'épisode sert d'avertissement brutal sur les risques liés à l'installation automatique des mises à jour, même pour des bibliothèques de confiance.