Un pirate informatique nord-coréen présumé a détourné et modifié un outil de développement de logiciels open source populaire pour diffuser des logiciels malveillants susceptibles de compromettre des millions de développeurs.
Lundi, un pirate informatique a diffusé des versions malveillantes de la bibliothèque JavaScript largement utilisée appelée Axios, sur laquelle les développeurs s’appuient pour permettre à leurs logiciels de se connecter à Internet. La bibliothèque concernée était hébergée sur npm, un référentiel de logiciels qui stocke le code des projets open source. Axios est téléchargé des dizaines de millions de fois chaque semaine.
Le détournement a été repéré et arrêté environ trois heures dans la nuit de lundi à mardi, selon la société de sécurité StepSecurity, qui a analysé l’attaque.
Les pirates ciblent de plus en plus les développeurs de projets open source populaires dans le but de pirater en masse quiconque s’appuie sur le code compromis, leur permettant ainsi d’accéder potentiellement à un grand nombre d’appareils concernés. Ces types de violations généralisées sont appelés attaques de la chaîne d’approvisionnement car elles ciblent des logiciels qui permettent aux pirates de pirater celui qui a téléchargé le logiciel compromis. Ces dernières années, les pirates ont ciblé des sociétés comme 3CX, Kaseya et SolarWinds, ainsi que des outils open source tels que Log4j et Polyfill.io, pour cibler un grand nombre de leurs utilisateurs.
On ne sait pas encore combien de personnes ont téléchargé la version malveillante d’Axios au cours de cette période. La société de sécurité Aikido, qui a également enquêté sur l’incident, a déclaré que toute personne ayant téléchargé le code « devrait supposer que son système est compromis ».
Google a déclaré à TechCrunch que ses chercheurs en sécurité associaient l’Axios compromis aux pirates informatiques nord-coréens.
« Nous avons attribué l’attaque à un acteur présumé de la menace nord-coréenne que nous suivons sous le nom d’UNC1069 », a déclaré John Hultquist, analyste en chef du Threat Intelligence Group de Google. « Les pirates nord-coréens ont une grande expérience des attaques contre la chaîne d’approvisionnement, qu’ils ont historiquement utilisées pour voler des crypto-monnaies. L’ampleur de cet incident n’est pas encore claire, mais étant donné la popularité du package compromis, nous nous attendons à ce qu’il ait des impacts considérables. »
Événement Techcrunch
San Francisco, Californie
|
13-15 octobre 2026
Contactez-nous
Avez-vous plus d’informations sur ce hack ? Ou d’autres attaques contre la chaîne d’approvisionnement ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail.
Le pirate informatique a réussi à insérer du code malveillant dans Axios en compromettant le compte de l’un des principaux développeurs du projet, autorisé à publier des mises à jour. Le pirate informatique a remplacé l’adresse e-mail du développeur légitime sur le compte par la sienne, ce qui rend plus difficile pour le développeur de retrouver l’accès.
Une fois pris le contrôle du compte, le pirate a inséré un code malveillant conçu pour délivrer un cheval de Troie d’accès à distance, ou RAT – essentiellement un logiciel malveillant qui peut donner aux pirates un contrôle total et à distance de l’ordinateur d’une victime. Le pirate informatique a ensuite publié de nouvelles versions d’Axios dans une mise à jour d’apparence légitime pour les utilisateurs Windows, macOS et Linux.
Les pirates ont également conçu le logiciel malveillant, ainsi qu’une partie du code utilisé pour le diffuser, pour qu’il se supprime automatiquement après l’installation afin de tenter de se cacher des moteurs anti-malware et des enquêteurs, selon les chercheurs en sécurité.
Mise à jour pour inclure les informations de Google sur l’attribution à la Corée du Nord.
