Itnet Technologies
Expertises
À propos
Réserver un rendez-vous
ITNET
ITNET Technologies
En ligne
Nola

Bienvenue !

Avant de commencer, présentez-vous pour que Nola puisse mieux vous aider.

France

Vos données restent confidentielles

ITNET TECHNOLOGIES

Cloud souverain - cybersécurité - datacenter

Un partenaire technique pour vos environnements numériques critiques.

ITNET TECHNOLOGIES conçoit, héberge et sécurise des infrastructures cloud, cyber et datacenter pour les organisations qui exigent souveraineté, disponibilité et maîtrise opérationnelle.

Planifier un audit ITExplorer le cloud souverain

Contact entreprise

Emailcontact@itnet-technologies.comTéléphone+33 9 86 55 06 55
Siège social22 Rue de Pissefontaine, 78570 Chanteloup-les-Vignes
Bureau Dubai DIFCDubai International Financial Centre (DIFC), Dubai, Émirats arabes unis
DisponibilitéLun.-Ven. 09:00-18:00

Solutions

  • Cloud souverain & hébergement sécurisé
  • Cybersécurité managée & audit
  • Refroidissement par immersion
  • Direct Liquid Cooling
  • VOLTANEUM liquide diélectrique
  • AXMARIL secret management

Confiance

  • Entreprise française, données hébergées en France selon périmètre
  • Architectures alignées RGPD, NIS2, ISO 27001 et exigences HDS à cadrer
  • Supervision et support pour services critiques
  • Infrastructures pensées pour performance et sobriété énergétique

Entreprise

  • Réserver un rendez-vous
  • Investir dans ITNET
  • Ressources & actualités

Légal

  • Mentions légales
  • Politique de confidentialité

Suivre ITNET

LinkedInYouTubeX
SASU - SIRET 890 177 470 00014
Cloud, cybersécurité et infrastructures durables

Certifications, référentiels et garanties techniques

Des repères de confiance pour vos infrastructures critiques.

Certifications & outils

Datacenter, sécurité & conformité

© 2026 ITNET TECHNOLOGIES. Tous droits réservés.

Conçu et opéré par ITNET TECHNOLOGIES.

Retour à BlogBlog

Attaque supply chain sur axios : sécuriser vos pipelines JavaScript dès maintenant

Le détournement des versions 1.14.1 et 0.30.4 d'axios révèle la fragilité des chaînes d'approvisionnement JavaScript. Voici le plan d'action pour les DSI.

Mouhamed BANKOLEExpert Infrastructure IT
1 avril 20268 min de lecture
Attaque supply chain sur axios : sécuriser vos pipelines JavaScript dès maintenant

Partager cet article

Articles similaires

Attaque supply chain sur axios : sécuriser vos pipelines JavaScript dès maintenant

Intention de recherche : comprendre l'attaque supply chain qui a compromis les versions 1.14.1 et 0.30.4 d'axios sur npm et bâtir un plan d'action concret pour protéger ses pipelines JavaScript et ses secrets CI/CD.

Salle de crise cybersécurité analysant une attaque supply chain sur des écrans de dépendances
Salle de crise cybersécurité analysant une attaque supply chain sur des écrans de dépendances

Ce qui s'est passé

  • Compte mainteneur détourné : les attaquants ont pris le contrôle du compte npm du mainteneur principal (jasonsaayman), ont modifié l'email associé et ont publié manuellement deux versions piégées (1.14.1 et 0.30.4).
  • Dépendance fantôme plain-crypto-js@4.2.1 : ajoutée uniquement pour exécuter un script postinstall qui installe un cheval de Troie avec charge utile Windows, Linux et macOS.
  • Propagation éclair : selon StepSecurity, la dépendance malveillante a été préparée 18 h avant, les deux branches ont été frappées à 39 minutes d'intervalle et les charges ont été précompilées pour chaque OS.
  • Attribution : Google TAG relie l'opération au groupe nord-coréen UNC1069, déjà connu pour des attaques chaîne d'approvisionnement visant les portefeuilles crypto.

Pourquoi c'est critique pour les DSI/CTO

  1. 100 M de téléchargements hebdomadaires : axios est présent dans les front-end, les BFF, les microservices et les scripts d'automatisation ; une simple installation automatique suffit à contaminer une machine de build.
  2. Exécution avant la fin du npm install : le dropper contacte le C2 (sfrclak.com:8000) en moins de deux secondes, avant même que les outils EDR aient fini leurs vérifications.
  3. Compromission silencieuse : le package malveillant s'autodétruit et réécrit son package.json, rendant difficile tout forensic a posteriori.
  4. Chaînes CI/CD visées : StepSecurity Harden-Runner a détecté l'incident dans Backstage, preuve que des workflows GitHub Actions peuvent exécuter ce code s'ils n'ont pas de garde-fous réseau.

Plan d'action immédiat (0-72 h)

  • Inventaire & blocage : rechercher axios@1.14.1 et axios@0.30.4 dans les lockfiles (npm, pnpm, yarn) et geler toute réinstallation automatique depuis les caches internes.
  • Rotation des secrets : considérer comme compromis les tokens npm, clés CI/CD, accès cloud et identifiants machine utilisés pendant l'installation.
  • Analyse réseau : vérifier les journaux egress (sfrclak.com, plain-crypto-js, connexions TCP 8000) sur les postes dev et runners.
  • Rebuild propre : réinstaller les environnements à partir d'images sûres plutôt que d'essayer de « nettoyer ».

Renforcement sur 30 jours

  1. Signer et vérifier les artefacts npm internes : activer les attestations Sigstore/SLSA pour les paquets critiques et refuser tout package non attesté.
  2. Séparer publication et mainteneurs : mettre en place des comptes de publication robotisés protégés par des clés FIDO2 et désactiver les uploads directs via npm CLI.
  3. Limiter le réseau CI/CD : appliquer des allowlists de domaines sortants pour les runners, journaliser et bloquer toute résolution DNS inattendue.
  4. Tester la chaîne avec du chaos engineering supply chain : simuler l'injection d'une dépendance zombie dans vos projets pour mesurer le temps de détection.

Gouvernance et KPI à suivre

  • Taux de dépendances signées (objectif >80 % sur les modules critiques).
  • Temps de réaction supply chain : minutes entre l'alerte et le blocage pipeline.
  • Couverture des revues de dépendances : % de projets analysés par semaine via OSS Review Toolkit ou Renovate.
  • Rotation automatique des secrets CI/CD : fréquence et preuve d'exécution.

Conclusion

L'incident axios prouve que les attaquants ciblent désormais les dépendances utilisées par tous, pas seulement les bibliothèques obscures. Seules les organisations qui industrialisent la supervision supply chain (attestations, cloisonnement réseau, rotation de secrets) pourront continuer à shipper vite sans servir de vecteur à une opération tierce.

FAQ

Suis-je impacté si j'utilise une version packagée par un vendor SaaS ?

Oui, si ce vendor a construit son artefact pendant la fenêtre compromise. Demandez-lui une preuve de reconstruction propre.

Installer axios à partir d'un cache privé suffit-il à me protéger ?

Non, si le cache a déjà aspiré les versions piégées. Purgez-le et forcez un npm cache clean --force.

Faut-il bloquer axios ?

Non, mais épinglez temporairement une version vérifiée (1.14.0 ou 1.13.x) et attendez la communication officielle du projet avant de déployer un patch.

Comment détecter un runner compromis ?

Surveillez les connexions sortantes vers des domaines inconnus, les scripts PowerShell/Bash exécutés durant postinstall, et comparez les checksums de vos artefacts.

Sources

  1. The Register – « Supply chain blast: Top npm package backdoored to drop dirty RAT on dev machines » (31 mars 2026)
  2. StepSecurity – « axios Compromised on npm – Malicious Versions Drop Remote Access Trojan » (31 mars 2026)
📝
Blog
2 juillet 20268 min

Voltaneum et inférence IA privée : placer les workloads GPU au bon niveau de confiance

Comment exploiter un cloud GPU souverain en alignant placement IA, confidentialité, capacité utile et preuves d'exploitation.

Mouhamed BANKOLE
Lire la suite
#voltaneum#cloud#datacenter
📝
Blog
2 juillet 20267 min

VPS zero trust : réduire la surface d'attaque sans bloquer l'exploitation

Une approche terrain pour sécuriser les VPS exposés tout en conservant la rapidité attendue d'un service cloud.

Mouhamed BANKOLE
Lire la suite
#vps
📝
Blog
2 juillet 20267 min

Inférence GPU en immersion : mesurer la capacité utile avant de promettre la performance

Un cadre concret pour transformer la densité GPU en service IA stable, mesurable et exploitable.

Mouhamed BANKOLE
Lire la suite