Cinq attaques majeures de la chaîne d'approvisionnement open source ont frappé en seulement douze jours. Axios. Trivy. LiteLLM. Telnyx. Et puis la fuite du code source de Claude Code par-dessus le marché.
Des outils différents. Des écosystèmes différents. La même cause fondamentale à chaque fois : identifiants, configurations et lacunes de processus.
Analysons ce qui s'est passé, ce qui les relie, et ce que votre équipe peut concrètement faire.
Ce Qui S'est Passé
Le Détournement d'Axios sur npm 31 mars
Axios est l'un des outils les plus utilisés dans l'écosystème JavaScript. Plus de 100 millions de téléchargements hebdomadaires. C'est le type de dépendance omniprésente — dans les apps frontend, les services backend, les plateformes d'entreprise et les pipelines CI/CD.
Le 31 mars, un acteur malveillant a détourné le compte npm du mainteneur principal d'Axios et publié deux versions malveillantes (1.14.1 et 0.30.4). Ces versions contenaient une dépendance cachée appelée « plain-crypto-js » qui installait silencieusement un cheval de Troie d'accès à distance multiplateforme dès qu'une machine exécutait npm install.
L'attaquant avait préparé la dépendance malveillante 18 heures à l'avance, construit des charges utiles séparées pour Windows, macOS et Linux, attaqué les deux branches de publication en 39 minutes, et conçu le malware pour s'autodétruire après exécution afin de couvrir ses traces.
Le groupe de renseignement sur les menaces de Google a attribué l'attaque à UNC1069, un acteur malveillant nord-coréen à motivation financière actif depuis au moins 2018.
Les versions malveillantes sont restées en ligne environ deux heures avant d'être retirées. Mais avec 100 millions de téléchargements hebdomadaires, même une fenêtre de deux heures crée une exposition massive.
Les Compromissions LiteLLM et Telnyx sur PyPI 24–27 mars
Celle-ci a commencé avec Trivy, un scanner de sécurité open source sur lequel de nombreuses organisations comptent pour détecter exactement ce type de menace.
Le 19 mars, un groupe connu sous le nom de TeamPCP a détourné les tags de publication dans le dépôt GitHub Actions de Trivy, injectant un malware de récolte d'identifiants. De là, les attaquants ont utilisé les identifiants volés pour accéder à Checkmarx KICS le 23 mars, puis à PyPI.
Le 24 mars, des versions malveillantes de LiteLLM (1.82.7 et 1.82.8) ont été publiées sur PyPI. LiteLLM est une couche proxy IA présente dans environ 36% des environnements cloud, gérant les requêtes API pour plus de 100 fournisseurs de modèles de langage différents. Les paquets compromis utilisaient le mécanisme de fichiers .pth de Python pour s'exécuter automatiquement à chaque démarrage de l'interpréteur Python, récoltant clés SSH, identifiants cloud, configs Kubernetes, mots de passe de bases de données et clés API.
Trois jours plus tard, le paquet Python de Telnyx a été touché avec le même procédé.
Les paquets LiteLLM sont restés disponibles environ trois heures. Avec trois millions de téléchargements quotidiens, la fenêtre d'exposition était significative.
La Fuite du Code Source de Claude Code 31 mars
Le même jour que l'attaque Axios, Anthropic a accidentellement livré le code source complet de son CLI Claude Code dans un paquet npm public. La version 2.1.88 incluait un fichier source map — un artefact de débogage qui reliait le code de production à son code source TypeScript original. Ce fichier pointait vers une archive zip sur le stockage cloud d'Anthropic contenant environ 512 000 lignes de code dans 1 900 fichiers.
Ce n'était ni un piratage ni une brèche. C'était une erreur d'empaquetage causée par un fichier mal configuré dans le processus de publication. Anthropic a confirmé qu'il s'agissait d'une erreur humaine.
En quelques heures, le code a été répliqué sur GitHub, accumulant des dizaines de milliers de forks. La fuite a exposé l'architecture complète d'un produit générant un chiffre d'affaires annuel estimé à 2,5 milliards de dollars, y compris des fonctionnalités non publiées, des outils internes et des prompts système.
C'était en fait la deuxième fois qu'une fuite similaire de source map se produisait avec Claude Code, après un incident précédent en février 2025.
Le Schéma
Prenez du recul par rapport aux incidents individuels et le tableau devient clair.
Aucune de ces attaques n'était d'une sophistication impossible contre laquelle personne n'aurait pu se défendre. Chacune s'est résumée aux fondamentaux :
L'Attaque Axios
A réussi parce que l'attaquant a obtenu un jeton d'accès npm à longue durée de vie. Un seul identifiant compromis a déverrouillé les droits de publication d'un paquet utilisé par des millions.
L'Attaque LiteLLM
S'est propagée à partir d'un seul jeton CI/CD exposé. Des identifiants volés d'un outil ont donné accès à un autre, puis un autre, puis encore un autre.
La Fuite Claude Code
S'est produite à cause d'une seule exclusion manquante dans un fichier de configuration. Un seul oubli dans le pipeline de publication a tout exposé.
Tous ces incidents étaient des défaillances de processus avant de devenir des incidents de sécurité.
La Bonne Nouvelle
Tout ce que nous venons de décrire est réparable. Le manuel existe déjà. Voici ce qui sépare les équipes qui ont été affectées de celles qui ne l'ont pas été.
Fixez vos dépendances
Ne laissez pas votre système de compilation télécharger automatiquement la dernière version d'un paquet. Verrouillez les versions de dépendances dans vos fichiers de verrouillage et vérifiez l'intégrité de ce que vous installez. Si votre pipeline CI/CD avait fixé Axios à 1.14.0, la version malveillante 1.14.1 n'aurait jamais été installée.
Exigez la provenance de compilation
Les paquets légitimes publiés via des pipelines CI/CD appropriés incluent des attestations cryptographiques de compilation. Les versions malveillantes d'Axios n'avaient aucune provenance OIDC. Configurer votre proxy de paquets pour rejeter les paquets sans provenance les aurait signalés immédiatement.
Contrôlez vos publications
Séparez la capacité d'écrire du code de celle de le publier. Exigez des approbations multiples pour les publications. Ne laissez pas un seul compte compromis publier directement en production.
Segmentez vos permissions CI/CD
L'attaque LiteLLM s'est propagée parce qu'un ensemble d'identifiants a déverrouillé l'accès à plusieurs systèmes. Limitez la portée de vos jetons d'automatisation. Utilisez des identifiants à courte durée de vie. Auditez quels systèmes ont des droits de publication et limitez le rayon d'impact de tout compromis.
Auditez votre pipeline de publication
La fuite de Claude Code s'est produite parce qu'un fichier de débogage s'est retrouvé dans un paquet de production. Des vérifications automatisées des source maps, artefacts de débogage et fichiers sensibles dans votre pipeline peuvent les intercepter avant publication.
Traitez les identifiants comme déjà à risque
Renouvelez les jetons régulièrement. Utilisez des jetons à courte durée de vie et portée d'automatisation au lieu de jetons d'accès personnels à longue durée. Surveillez toute activité de publication inattendue.
Comment EB DevTech Vous Aide
C'est exactement le type de travail que nous faisons chaque jour.
Chez EB DevTech, nous aidons les entreprises à construire les fondations opérationnelles qui leur permettent d'avancer vite tout en dormant sur leurs deux oreilles. Nous travaillons avec votre équipe pour sécuriser les pipelines de compilation, vérifier les dépendances avant qu'elles n'atteignent la production, segmenter les permissions pour qu'un seul identifiant compromis ne fasse pas boule de neige, et mettre en place les contrôles qui détectent les lacunes de processus avant qu'elles ne deviennent des gros titres.
L'IA avance à un rythme incroyable en ce moment. C'est passionnant. Mais la vitesse sans structure, c'est juste du chaos avec une échéance. Nous vous aidons à garder la vitesse et à ajouter la structure.
Les outils sont formidables. Assurons-nous que vos processus le soient aussi.
Vous voulez prendre de l'avance sur les risques de chaîne d'approvisionnement ?
Laissez-nous vous aider à sécuriser vos pipelines de compilation, appliquer la gouvernance des dépendances et auditer votre posture de sécurité CI/CD.
Contacter EB DevTechSources
- Google Cloud Blog — "North Korea-Nexus Threat Actor Compromises Widely Used Axios NPM Package in Supply Chain Attack"
- Snyk — "Axios npm Package Compromised: Supply Chain Attack Delivers Cross-Platform RAT"
- The Hacker News — "Axios Supply Chain Attack Pushes Cross-Platform RAT via Compromised npm Account"
- The Hacker News — "Google Attributes Axios npm Supply Chain Attack to North Korean Group UNC1069"
- Sophos — "Axios npm package compromised to deploy malware"
- SOCRadar — "Axios npm Hijack 2026: Everything You Need to Know"
- Snyk — "How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM"
- Datadog Security Labs — "LiteLLM and Telnyx compromised on PyPI"
- Wiz — "TeamPCP Trojanizes LiteLLM in Continuation of Campaign"
- FutureSearch — "litellm 1.82.8 Supply Chain Attack on PyPI"
- Sonatype — "Compromised litellm PyPI Package Delivers Multi-Stage Credential Stealer"
- The Record — "Supply chain attack hits widely-used AI package"
- Microsoft Security Blog — "Guidance for detecting, investigating, and defending against the Trivy supply chain compromise"
- DreamFactory — "Five Supply Chain Attacks in Twelve Days"
- VentureBeat — "Claude Code's source code appears to have leaked"
- Axios — "Anthropic leaked its own Claude source code"
- The Register — "Anthropic accidentally exposes Claude Code source code"
- CNBC — "Anthropic leaks part of Claude Code's internal source code"
- The Hacker News — "Claude Code Source Leaked via npm Packaging Error"