🗓️ Contexte

Source : BleepingComputer, publié le 4 avril 2026. Cet article relate un incident de supply chain affectant Axios, l’un des clients HTTP les plus populaires de l’écosystème JavaScript/npm, avec des milliards de téléchargements hebdomadaires.

🎯 Déroulement de l’attaque

L’attaque a débuté par une campagne d’ingénierie sociale ciblée contre Jason Saayman, mainteneur principal du projet. Les attaquants ont :

  • Usurpé l’identité d’une entreprise légitime en clonant son branding et les profils de ses fondateurs
  • Invité la victime dans un faux espace de travail Slack contenant des canaux réalistes, des profils fictifs d’employés et d’autres mainteneurs open-source
  • Planifié une réunion sur Microsoft Teams avec de nombreux participants apparents
  • Affiché un faux message d’erreur technique pendant l’appel, incitant la victime à installer une fausse mise à jour Teams contenant un RAT

Cette technique est similaire aux attaques de type ClickFix, où une fausse erreur pousse la victime à exécuter un correctif malveillant.

📦 Impact sur la supply chain

Une fois l’accès au compte npm obtenu, les attaquants ont publié deux versions malveillantes d’Axios :

  • 1.14.1
  • 0.30.4

Ces versions injectaient une dépendance malveillante nommée plain-crypto-js, qui installait un RAT sur macOS, Windows et Linux. Les versions malveillantes sont restées disponibles environ trois heures avant suppression.

🌐 Campagne coordonnée

Selon Socket, il ne s’agissait pas d’un incident isolé. La campagne a ciblé de nombreux mainteneurs de packages Node.js populaires et de contributeurs au cœur de Node.js. Le schéma d’attaque était systématique :

  1. Prise de contact via LinkedIn ou Slack
  2. Invitation dans un espace de travail privé
  3. Appel vidéo avec fausse erreur technique
  4. Incitation à installer un logiciel natif ou exécuter une commande curl

Pelle Wessman, mainteneur du framework Mocha, a confirmé avoir été ciblé par la même campagne. Lorsqu’il a refusé d’installer l’application, les attaquants ont tenté de lui faire exécuter une commande curl, puis ont supprimé toutes les conversations.

🕵️ Attribution

Le Google Threat Intelligence Group (GTIG) attribue cette activité à UNC1069, un acteur nord-coréen à motivation financière actif depuis au moins 2018, sur la base de l’utilisation de WAVESHAPER.V2 et de recoupements d’infrastructure avec des campagnes passées. UNC1069 avait précédemment ciblé des entreprises de cryptomonnaies avec les mêmes tactiques.

📋 Type d’article

Article de presse spécialisée combinant éléments de post-mortem et d’analyse de menace, visant à documenter un incident de supply chain npm et à alerter l’écosystème open-source sur une campagne coordonnée attribuée à un acteur étatique nord-coréen.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1550.004 — Use Alternate Authentication Material: Web Session Cookie (Lateral Movement)
  • T1656 — Impersonation (Defense Evasion)
  • T1608.003 — Stage Capabilities: Install Digital Certificate (Resource Development)
  • T1219 — Remote Access Software (Command and Control)

Malware / Outils

  • WAVESHAPER.V2 (rat)
  • plain-crypto-js (loader)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 7276 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : UNC1069 (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/axios-npm-hack-used-fake-teams-error-fix-to-hijack-maintainer-account/