Axios

🔍 Contexte Le 10 avril 2026, OpenAI a publié un post-mortem officiel concernant un incident de sécurité lié à la compromission de la bibliothèque tierce Axios, survenu dans le cadre d’une attaque de la chaîne d’approvisionnement logicielle plus large touchant l’industrie. 📅 Chronologie 31 mars 2026 (UTC) : La bibliothèque Axios (version 1.14.1) est compromise dans le cadre d’une attaque supply chain. Un workflow GitHub Actions utilisé par OpenAI dans le processus de signature des applications macOS télécharge et exécute cette version malveillante d’Axios. Ce workflow avait accès à un certificat de signature de code et au matériel de notarisation utilisés pour signer les applications macOS d’OpenAI. 10 avril 2026 : Publication du post-mortem par OpenAI. 8 mai 2026 : Révocation effective du certificat compromis et fin du support des anciennes versions. 🎯 Applications impactées Les applications macOS suivantes étaient signées avec le certificat potentiellement exposé : ...

🌐 Contexte Source : Google Threat Intelligence Group (GTIG) / Mandiant, publiée le 31 mars 2026. L’article documente une attaque de chaîne d’approvisionnement logicielle ciblant le package axios, l’un des packages NPM les plus utilisés au monde, attribuée à un acteur lié à la Corée du Nord. 🎯 Acteur et attribution GTIG attribue cette activité à UNC1069, un acteur à motivation financière actif depuis 2018 et lié à la Corée du Nord. L’attribution repose sur : ...

🗓️ Contexte Article publié le 2 avril 2026 par CodeAnt AI, analysant en détail l’attaque supply chain ayant ciblé la bibliothèque JavaScript axios sur le registre npm le 31 mars 2026. Axios est le client HTTP JavaScript le plus utilisé au monde avec plus de 100 millions de téléchargements hebdomadaires. 🔓 Vecteur d’accès initial L’attaquant a obtenu un token npm classique à longue durée de vie appartenant au mainteneur principal (jasonsaayman). Ce type de token ne possède ni expiration, ni MFA, ni vérification de session. Il a permis de publier directement sur le registre sans passer par le mécanisme OIDC Trusted Publisher habituellement utilisé par les releases légitimes d’axios. ...

🗓️ Contexte Analyse technique publiée le 31 mars 2026 par Mend.io, documentant une attaque de chaîne d’approvisionnement ciblant la bibliothèque npm axios (50 millions de téléchargements hebdomadaires). La campagne est suivie sous l’identifiant MSC-2026-3522. 🎯 Vecteur d’attaque initial L’attaquant a obtenu les credentials d’un compte npm mainteneur d’axios et a publié directement via le CLI npm deux versions malveillantes (1.14.1 et 0.30.4) sans passer par GitHub. Aucun tag git ne correspond à ces versions. L’adresse email du compte mainteneur a été modifiée en ifstap@proton.me après la compromission pour verrouiller le propriétaire légitime. ...