Rejoindre une formation à l'École Cube ↗

Veille IA & No-Code
Eric Maldonado
Eric Maldonado
Membre Cube
·Publié dans Veille IA & No-Code

Qui pense à faire les mises à jour de ses dépendances ?

Une vulnérabilité a été introduite sur le package Axios utilisé par des millions d'utilisateurs dans le monde. 100 millions de telechargement par semaine. Les versions malveillantes signalées sont 1.14.1 et 0.30.4. Elles ont été publiées brièvement pendant l’incident du 31 mars 2026, et les guides de réponse recommandent de vérifier à la fois le lockfile et node_modules.

Les versions malveillantes d’axios ont ajouté une dépendance cachée qui pouvait installer un Remote Access Trojan (RAT) et voler des identifiants, clés API, secrets cloud et mots de passe sur Windows, macOS et Linux.

Qui est affecté

Toute machine, CI/CD ou environnement de prod qui a installé [email protected] ou [email protected] pendant la fenêtre de compromission est potentiellement exposé. Les analyses indiquent aussi que l’attaque touchait largement les workflows auto-update et les installations automatisées.

Risques concrets

Vol de secrets présents sur la machine ou dans l’environnement d’exécution. Persistance possible via malware exécuté à l’installation. Exposition de pipelines CI/CD si un build a tiré la version compromise. Possibles mouvements latéraux si la machine avait des accès réseau ou cloud.

Ce qu’il faut vérifier

  • Si ton package-lock.json a figé une version compromise.

  • Si node_modules a été installé pendant la fenêtre de publication.

  • Si la dépendance parasite plain-crypto-js est présente.

Vérifs rapides :

Dans la racine de ton projet :

npm ls axios --all

npm ls plain-crypto-js --all

Puis cherche directement dans les fichiers de lock

rg -n "axios@1\.14\.1|axios@0\.30\.4|plain-crypto-js" package-lock.json yarn.lock pnpm-lock.yaml

Ces contrôles sont recommandés dans les analyses de l’incident, car npm audit peut ne rien signaler et le malware peut masquer sa trace après installation.

Bonnes pratiques de base :

  • Fais un npm audit régulièrement, surtout après un npm install ou l’ajout d’un nouveau package.

  • Utilise npm outdated pour voir les dépendances qui ont des versions plus récentes (souvent sans vulnérabilités connues).

  • Évite les packages anonymes, obscurcis ou avec des scripts postinstall louches ; des outils comme NodeSecure peuvent t’aider à les repérer.

5
04/04/2026