Le 31 mars 2026, une alerte majeure a secoué le monde de la cybersécurité : le logiciel Axios, un composant clé de nombreuses applications web, a été compromis dans une attaque attribuée à des acteurs liés à la Corée du Nord. Ce logiciel, souvent invisible pour les utilisateurs, joue pourtant un rôle central dans les échanges de données sur Internet. Désormais, les pirates ne ciblent plus directement les entreprises, mais les briques logicielles qu’elles utilisent. Une stratégie redoutablement efficace.
Le logiciel Axios, pilier discret de l’informatique moderne
Le logiciel Axios est une bibliothèque open source en JavaScript. Concrètement, il permet aux applications de communiquer avec des serveurs via Internet. Ce mécanisme est au cœur du fonctionnement de nombreux services numériques, qu’il s’agisse d’applications mobiles, de plateformes web ou d’outils professionnels.
Son omniprésence est frappante. Selon Wiz, Axios est présent dans environ 80 % des environnements cloud et de code, avec près de 100 millions de téléchargements chaque semaine. Autrement dit, ce logiciel est utilisé à une échelle industrielle. Pourtant, il reste largement invisible. Comme le souligne Reuters, le logiciel « alimente des services en ligne de manière largement invisible pour l’utilisateur final ».
Cette discrétion en fait une cible idéale pour les cybercriminels. En effet, compromettre un tel outil revient à s’introduire dans des milliers, voire des millions de systèmes en une seule opération. C’est précisément ce qui s’est produit.
Le piratage du logiciel Axios : une attaque sophistiquée
L’attaque repose sur un mécanisme bien connu des spécialistes : la compromission de la chaîne d’approvisionnement. Plutôt que d’attaquer directement les entreprises, les pirates ont infiltré le logiciel lui-même. Plus précisément, ils ont pris le contrôle du compte du mainteneur principal d’Axios. Selon Google Cloud, l’adresse e-mail associée a été modifiée pour une adresse contrôlée par les attaquants, signe d’une compromission ciblée.
Ensuite, les hackers ont publié des versions modifiées du logiciel, notamment [email protected] et [email protected], selon StepSecurity. Ces versions contenaient une dépendance malveillante appelée plain-crypto-js.
Le procédé est particulièrement discret. Aucun code malveillant n’était directement visible dans Axios lui-même. Comme l’explique StepSecurity, une seule modification a été détectée dans le fichier package.json, sur un total de 86 fichiers analysés.
Une fois installé, le logiciel lançait automatiquement un script malveillant sans intervention de l’utilisateur. « Vous n’avez rien à cliquer ou faire de travers. Le logiciel que vous utilisez déjà de confiance l’a fait pour vous », a expliqué Tom Hegel, analyste cité par Reuters. Ce script installait un cheval de Troie d’accès à distance, capable de prendre le contrôle des machines infectées. Le malware, baptisé SILKBELL, pouvait fonctionner sur Windows, macOS et Linux.
L’attaque a été rapide et ciblée. Les versions compromises ont été publiées en l’espace de 39 minutes, selon Elastic Security Labs. Elles sont restées disponibles environ trois heures avant d’être retirées.
Risques, conséquences et rôle de la Corée du Nord en cybersécurité
Les conséquences potentielles sont considérables. Axios est utilisé dans au moins 175 000 projets logiciels, selon CSO Online. De plus, sa diffusion massive signifie que l’attaque pouvait atteindre des millions d’environnements. Même si toutes les installations n’ont pas été compromises, l’impact reste significatif. Wiz indique que les versions malveillantes ont été exécutées dans environ 3 % des environnements analysés. Les capacités du malware sont particulièrement inquiétantes. Il pouvait exécuter des commandes à distance, voler des données et maintenir un accès persistant aux systèmes infectés.
L’attribution de l’attaque renforce encore les inquiétudes. Les chercheurs pointent le groupe UNC1069, lié à la Corée du Nord et actif depuis au moins 2018, selon Reuters. Ces groupes sont connus pour leurs opérations visant à financer le régime. « Les hackers nord-coréens ont une grande expérience des attaques de chaîne d’approvisionnement, qu’ils utilisent pour voler des cryptomonnaies », a déclaré John Hultquist. L’ampleur exacte des dégâts reste inconnue. Toutefois, les experts s’attendent à des répercussions importantes.
