D-OPEN

317 packages npm compromis : supply chain attack massive en mai 2026

Erik Johansson

Erik Johansson

Ingenieur securite applicative · 24 mai 2026 · 15 min de lecture

Suivre sur Google NewsResumer :ChatGPTClaudePerplexity

TL;DR

  • Le 19 mai 2026, StepSecurity et SafeDep ont alerte sur une vague massive d attaques supply chain ciblant l ecosysteme npm — des hackers ont pris le controle d un compte developpeur et publie 630+ versions malveillantes sur 317 packages en environ 20 minutes.
  • • L objectif : voler des credentials pour les gestionnaires de mots de passe, les services cloud (AWS, GCP, Azure), et les tokens CI/CD (GitHub Actions, GitLab CI, npm publish tokens).
  • • Parmi les packages compromis : Antv (Alibaba), une bibliotheque populaire de visualisation de donnees utilisee par des milliers de projets en production.
  • • Cette attaque survient la meme semaine que la breach GitHub/TeamPCP via l extension VS Code Nx Console, et la semaine ou Moonshot AI a leve 2 milliards de dollars a une valorisation de 20+ milliards.

Le 19 mai 2026, les equipes de securite de StepSecurity et SafeDep ont lance une alerte sur ce qui constitue l une des plus importantes attaques supply chain jamais observees sur le registre npm. Des attaquants ont pris le controle d un compte de mainteneur npm et, en l espace de 20 minutes, ont publie plus de 630 versions malveillantes reparties sur 317 packages distincts. L ampleur et la vitesse de l operation temoignent d une automatisation complete du processus de publication — les attaquants ont manifestement prepare des scripts capables de pousser des dizaines de versions par minute, rendant toute reaction humaine impossible dans le delai imparti.

Selon le rapport de TechCrunch, les versions malveillantes contenaient du code concu pour exfiltrer des credentials stockes sur les machines des developpeurs et dans les environnements CI/CD. Les cibles principales : les mots de passe des gestionnaires de secrets (1Password, Bitwarden, LastPass), les tokens d acces aux services cloud (AWS, GCP, Azure), et les tokens d authentification des pipelines CI/CD — les cles qui permettent de publier du code, de deployer en production, et d acceder aux infrastructures critiques. Cet incident n est pas un cas isole : il s inscrit dans la meme vague d attaques qui a frappe GitHub via l extension VS Code Nx Console trojanisee par TeamPCP la meme semaine.

💡 Notre avis d'expert

630 versions malveillantes en 20 minutes. C est le rythme d une attaque entierement automatisee. L ecosysteme npm est structurellement vulnerable a ce type d assaut : n importe qui peut publier, les mises a jour sont consommees automatiquement par des millions de pipelines CI/CD, et le registre npm n a pas de mecanisme de review pre-publication. Tant que le modele de confiance de npm repose sur la bonne foi des mainteneurs et la securite de leurs comptes, ces attaques se repeteront. La seule protection viable est une defense en profondeur cote consommateur : fichiers lock verrouilles, audit automatise, registre prive en proxy, et surtout, plus jamais de npm install sans verification dans un pipeline de production.

Anatomie de l attaque : 317 packages, 630 versions, 20 minutes

L attaque a ete executee avec une precision industrielle. L analyse des timestamps de publication revele que les 630+ versions malveillantes ont ete publiees dans une fenetre de moins de 20 minutes — soit un rythme de plus de 30 versions par minute. Ce debit est incompatible avec une publication manuelle : les attaquants ont utilise un script automatise qui, apres avoir obtenu le token d authentification npm du mainteneur compromis, a methodiquement parcouru la liste des 317 packages accessibles depuis ce compte et publie une nouvelle version de chacun avec un payload malveillant injecte.

Le mecanisme de compromission du compte mainteneur n a pas encore ete publiquement confirme, mais les analystes de StepSecurity pointent vers plusieurs vecteurs probables : credential stuffing (reutilisation d un mot de passe compromis dans une autre breach), phishing cible (un e-mail imitant les notifications npm), ou vol de token npm via un malware prealable. Le fait que le compte avait acces a 317 packages est significatif — il s agissait manifestement d un mainteneur implique dans un ecosysteme de packages interconnectes, probablement un scope organisationnel (@organization/package) donnant acces a l ensemble des packages d une equipe.

CHRONOLOGIE DE L ATTAQUE SUPPLY CHAIN — 19 MAI 2026PHASE 1Heure inconnueCompte mainteneurnpm compromis317 packages accessiblesPHASE 2~20 minutesPublication automatisee630+ versions malveillantes~30 versions/minutePHASE 3PropagationExfiltration credentialsMots de passe, tokens cloudCI/CD tokens volesPHASE 419 mai 2026Detection et alerteStepSecurity + SafeDepAdvisories publies317packages compromisdont Antv (Alibaba)630+versions malveillantespubliees en rafale~20 minfenetre d attaqueentierement automatiseeCIBLES : CREDENTIALS CLOUD + CI/CD + PASSWORD MANAGERSAWS, GCP, Azure, GitHub Actions, GitLab CI, npm tokens, 1Password, Bitwarden

La vitesse d execution de cette attaque est particulierement preoccupante pour les equipes qui utilisent des pipelines CI/CD avec installation automatique de dependances. Un pipeline GitHub Actions ou GitLab CI qui execute npm install sans fichier lock verrouille pourrait avoir installe une version malveillante dans les minutes suivant la publication — avant meme que l alerte ne soit lancee. C est le cauchemar de la supply chain : le temps de detection est structurellement superieur au temps de propagation. Les packages compromis sont consommes par des milliers de projets en aval, et chaque projet qui installe une version malveillante devient un vecteur de propagation supplementaire. Pour les equipes qui n avaient pas mis en place les protections que nous recommandons dans notre guide pour securiser les pipelines npm contre les attaques supply chain, la fenetre de vulnerabilite a ete de plusieurs heures.

Antv (Alibaba) et les packages de haute valeur compromis

Parmi les 317 packages compromis, le cas d Antv est le plus significatif. Antv est la suite de bibliotheques de visualisation de donnees developpee par Alibaba — elle comprend des packages comme @antv/g2, @antv/g6, @antv/l7 et d autres, utilises par des milliers de projets en production a travers le monde, notamment dans le secteur de la fintech, du business intelligence et des dashboards d entreprise. L utilisation d Antv dans des environnements sensibles — ou les donnees visualisees sont souvent confidentielles — amplifie considerablement l impact potentiel de la compromission.

Le fait qu un ecosystem de packages aussi important qu Antv ait ete compromis via un unique compte mainteneur souleve des questions fondamentales sur la gouvernance des packages open source. Comment un seul compte peut-il avoir les droits de publication sur 317 packages ? Pourquoi n y avait-il pas de signature multi-parties (multi-party signing) pour les publications critiques ? L absence de ces controles n est pas un oubli — c est le reflet du modele de confiance historique de npm, ou la rapidite de publication a toujours ete prioritaire sur la securite. Ce modele a fonctionne quand l ecosysteme etait petit et que les mainteneurs se connaissaient. A l echelle actuelle de npm — plus de 2 millions de packages, des milliards de telechargements hebdomadaires — il est devenu un vecteur d attaque systematique. Le rapport 2026 de l OpenSSF confirme que les attaques supply chain sur les registres de packages ont augmente de 430% en deux ans.

FLUX D EXFILTRATION — PACKAGES NPM MALVEILLANTSATTAQUANTCompte npm compromisToken d authentification voleREGISTRE NPM317 packages mis a jour630+ versions malveillantesAucune review pre-publicationPIPELINES CI/CDGitHub Actions, GitLab CInpm install automatiqueTokens CI/CD exfiltresPOSTES DEVELOPPEURSnpm install localCredentials locaux accessiblesPassword manager tokens volesCREDENTIALS CIBLES PAR LE PAYLOAD MALVEILLANTPassword Managers1Password, BitwardenCloud ServicesAWS, GCP, Azure keysCI/CD TokensGitHub, GitLab, npmSSH Keys~/.ssh/id_*Env VarsAPI keys, tokensDonnees envoyees vers serveur C2 via HTTPS chiffreVECTEUR DE PROPAGATIONPackage compromis installe dans projet AProjet A publie comme dependance de Projet BProjet B installe en production chez Client XCascade de compromission a travers les dependancesMEME SEMAINEGitHub breach TeamPCP / Nx ConsoleMoonshot AI leve 2B$ a 20B$+ valuationGoogle I/O 2026 : Gemini Omni + SparkMai 2026 : le mois le plus charge en incidents supply chain

Le payload malveillant injecte dans les versions compromises ciblait specifiquement les credentials a haute valeur. Contrairement aux attaques supply chain plus primitives qui se contentent d injecter un cryptominer, cette operation visait l exfiltration systematique de secrets d authentification. Le code malveillant scannait l environnement d execution a la recherche de fichiers de configuration connus : ~/.npmrc pour les tokens npm, ~/.aws/credentials pour AWS, les fichiers de configuration de 1Password et Bitwarden, les variables d environnement contenant des tokens CI/CD, et les cles SSH. Les donnees exfiltrees etaient envoyees vers un serveur de commande et controle (C2) via HTTPS, rendant le trafic malveillant difficile a distinguer du trafic reseau normal.

💡 Notre avis d'expert

Le cas Antv illustre le probleme fondamental de la gouvernance open source a grande echelle. Quand Alibaba publie des bibliotheques utilisees par des milliers d entreprises, mais que la publication repose sur un seul compte npm sans signature multi-parties, on cree un point de defaillance unique (SPOF) dans la chaine de confiance. La solution n est pas de blamer les mainteneurs — ils sont souvent benevoles et surcharges. La solution est de rendre les controles de securite structurels : signature obligatoire des releases, approbation multi-parties pour les publications de packages critiques, et build reproductible pour verifier que le code publie correspond au code source. Le framework SLSA (Supply-chain Levels for Software Artifacts) propose exactement ces garanties — mais son adoption reste marginale.

Contexte : la semaine la plus noire de la supply chain open source

Cette attaque sur les 317 packages npm ne survient pas dans un vide — elle s inscrit dans ce qui est desormais considere comme la semaine la plus intense en termes d incidents supply chain de l histoire de l open source. La meme semaine, le 18 mai 2026, le groupe TeamPCP (UNC6780) a compromis 3 800 repositories internes de GitHub via une extension VS Code Nx Console trojanisee. Les deux incidents partagent un ADN commun : compromission de la chaine de confiance des outils de developpement, exfiltration automatisee de credentials, et exploitation de la confiance implicite que les developpeurs accordent a leurs outils quotidiens.

En parallele, Moonshot AI — un developpeur d IA open source base en Chine — a annonce avoir leve 2 milliards de dollars a une valorisation de plus de 20 milliards de dollars. Cette levee de fonds massive, que nous avons analysee en detail, illustre le paradoxe de l ecosysteme open source en 2026 : des valorisations astronomiques coexistent avec une fragilite structurelle de la supply chain. Les entreprises qui levent des milliards grace a l open source — et qui dependent entierement de la securite de cet ecosysteme — n investissent pas proportionnellement dans la securisation des registres de packages et des chaines de confiance dont elles dependent.

Le rapport OSSRA 2026 avait deja sonne l alarme : les vulnerabilites dans les composants open source ont double, et 87% des codebases audites presentent des risques significatifs. L attaque des 317 packages npm est la materialisation concrete de ces statistiques. Ce n est plus une question de "si" mais de "quand" — et pour les 317 packages npm, le "quand" est arrive le 19 mai 2026. Les developpeurs francais, notamment dans les communautes tech de Paris, Lyon et Toulouse, sont directement concernes : les packages Antv sont utilises dans des centaines de projets de dashboards et de visualisation de donnees en production chez des entreprises francaises.

PAYSAGE DES MENACES SUPPLY CHAIN — MAI 2026INCIDENTS SUPPLY CHAIN — MAI 202619 MAI317 packages npm / 630+ versionsAntv (Alibaba) compromis — credentials voles18 MAIGitHub breach TeamPCP / Nx Console3 800 repos internes — extension VS CodeMAITanStack npm / Shai-Hulud169 paquets — 518M telechargementsMAIGrafana pirate via GitHub ActionsCode source vole — rancon refuseeAttaques supply chain : +430% en 2 ans (OpenSSF)DEFENSES RECOMMANDEES1.Fichiers lock verrouilles (package-lock.json)Empeche l installation de versions non prevues2.npm audit + Socket.dev dans CI/CDDetection automatisee des packages suspects3.Registre prive en proxy (Verdaccio, Artifactory)Cache local avec scan de securite integre4.Sigstore + SLSA pour la provenanceVerification cryptographique des packages5.2FA obligatoire sur comptes mainteneursFIDO2/WebAuthn, pas SMS ou TOTP seul

Votre supply chain npm est-elle securisee ?

Audit de dependances, mise en place de registre prive, configuration de Dependabot/Renovate, integration Socket.dev, formation equipe supply chain security — nous securisons vos pipelines.

Nous contacter

Le mecanisme de vol de credentials : comment le payload fonctionne

L analyse du payload malveillant par les equipes de StepSecurity revele un code sophistique mais pragmatique. Le malware s active au moment de l installation du package — via les scripts postinstall dans le package.json — un vecteur d attaque classique mais toujours efficace car la plupart des developpeurs n auditent pas les scripts de lifecycle de leurs dependances. Le script postinstall s execute avec les privileges de l utilisateur qui lance npm install, ce qui lui donne un acces complet au systeme de fichiers et aux variables d environnement.

Le payload s executait en trois phases distinctes. Phase 1 — Decouverte : le code scannait l environnement a la recherche de fichiers de credentials connus. Il ciblait specifiquement ~/.npmrc (tokens npm), ~/.aws/credentials et ~/.aws/config (AWS), les fichiers de configuration de 1Password et Bitwarden, les cles SSH dans ~/.ssh/, et les variables d environnement contenant des patterns comme *_TOKEN, *_KEY, *_SECRET. Phase 2 — Collecte : les donnees decouvertes etaient encodees en base64 et preparees pour l exfiltration. Phase 3 — Exfiltration : les donnees etaient envoyees via une requete HTTPS POST vers un domaine controle par les attaquants, imitant visuellement un appel API npm legitime pour contourner les firewalls et les systemes de detection d intrusion. Nous avions deja documente un mecanisme similaire dans notre analyse de la supply chain attack LiteLLM sur PyPI.

Un aspect particulierement insidieux de ce payload est son comportement dans les environnements CI/CD. Les pipelines d integration continue stockent souvent des tokens de deploiement dans les variables d environnement — GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID. Le malware detectait specifiquement ces environnements (via la presence de CI=true ou GITHUB_ACTIONS=true) et adaptait son comportement pour collecter le maximum de tokens disponibles. Un pipeline compromis ne donne pas seulement acces au code source — il donne acces a l infrastructure de deploiement, aux registres de packages, et potentiellement aux environnements de production.

COMPARAISON DES ATTAQUES SUPPLY CHAIN — MAI 2026INCIDENTVECTEURIMPACTDUREE317 PACKAGES NPM19 mai 2026Compte npm compromisPublication automatisee630+ versions malveillantesCredentials voles (cloud, CI/CD)~20 minPublication en rafaleGITHUB / TEAMPCP18 mai 2026Extension VS Code trojaniseeNx Console v18.95.03 800 repos internes GitHub1Password, Claude Code, AWS11 minExtension sur MarketplaceTANSTACK / SHAI-HULUDMai 2026Packages npm empoisonnes169 paquets publies518 millions telechargementsEcosysteme TanStack toucheHeuresAvant detectionGRAFANA / GITHUB ACTIONSMai 2026GitHub Actions compromisPipeline CI/CD cibleCode source Grafana voleRancon refuseeJoursAvant detectionTENDANCE : des attaques de plus en plus rapides et automatisees

Impact pour les developpeurs francais et actions immediates

Les developpeurs francais sont directement concernes par cette attaque. Les packages de la suite Antv sont largement utilises dans les projets de business intelligence, de dashboards et de visualisation de donnees au sein des entreprises et startups francaises — de Paris a Lyon, de Toulouse a Nantes. Si vos projets utilisent des packages du scope @antv/ ou l un des 317 packages compromis, vous devez agir immediatement.

Etape 1 — Verifiez vos projets : Executez npm audit dans chacun de vos projets. Verifiez vos fichiers package-lock.json pour des versions anormalement recentes des packages suspects. Utilisez des outils comme Socket.dev ou Snyk pour un scan approfondi. Etape 2 — Rotez vos credentials : Si une version malveillante a ete installee, considerez que tous les credentials accessibles depuis cette machine ou ce pipeline sont compromis. Rotez immediatement vos tokens npm, GitHub PATs, cles AWS, et changez vos mots de passe de gestionnaires de secrets. Etape 3 — Auditez vos pipelines : Verifiez les logs de vos pipelines CI/CD pour detecter des installations anormales. Assurez-vous que vos fichiers lock sont commites dans votre depot et que npm ci (et non npm install) est utilise dans vos pipelines.

Pour les equipes qui veulent aller plus loin, notre guide detaille pour securiser les pipelines npm contre les attaques supply chain en 7 etapes couvre la mise en place d un registre prive, la configuration de Dependabot et Renovate, l integration de Socket.dev dans les pipelines CI/CD, et l adoption du framework SLSA. Pour une approche plus large couvrant les pipelines CI/CD dans leur ensemble, consultez notre nouveau guide pour securiser votre pipeline CI/CD open source contre les attaques supply chain en 8 etapes.

💡 Notre avis d'expert

Cette attaque va accelerer l adoption de la 2FA obligatoire sur npm — mais ce n est qu un pansement. npm a commence a imposer la 2FA aux mainteneurs des packages les plus populaires, mais cette politique ne couvre pas tous les comptes. Meme avec la 2FA, les tokens npm stockes dans des fichiers .npmrc restent volables si la machine est compromise. La vraie solution est un changement de paradigme : passer du modele "trust on first publish" au modele "verify before consume". Cela signifie des builds reproductibles, une verification de provenance via Sigstore, et un monitoring comportemental des packages en temps reel. Les entreprises francaises qui dependent de npm doivent investir dans ces protections des maintenant — pas apres la prochaine attaque.

Predictions : l avenir de la securite supply chain

L attaque des 317 packages npm marque un tournant dans l escalade des menaces supply chain. Plusieurs tendances se dessinent pour les mois a venir. Premiere tendance : l automatisation des attaques va continuer a s accelerer. Les 20 minutes necessaires pour publier 630 versions seront compressees a quelques secondes grace a l utilisation d outils d IA generative pour generer des payloads polymorphes — du code malveillant qui se modifie automatiquement pour echapper a la detection par signatures. Deuxieme tendance : les attaquants vont cibler simultanement plusieurs registres de packages (npm, PyPI, crates.io, Maven Central) dans des attaques coordonnees, rendant la reponse incident beaucoup plus complexe pour les equipes de securite.

Troisieme tendance : la regulation va s intensifier. L Union europeenne, via le Cyber Resilience Act (CRA) et la directive NIS2, impose deja des obligations de securite sur les logiciels — y compris les composants open source utilises en production. Les incidents comme celui des 317 packages npm vont accelerer la mise en application de ces reglementations et potentiellement imposer la generation de SBOM (Software Bill of Materials) pour tous les logiciels deployes en Europe. La regulation DORA pour le secteur financier va dans la meme direction. Quatrieme tendance : les initiatives de financement de la securite open source — comme le programme Glasswing d Anthropic de 100 millions de dollars et le programme Alpha-Omega de l OpenSSF — vont s etendre pour couvrir l audit systematique des registres de packages et le financement des mainteneurs critiques.

💡 Notre avis d'expert

2026 sera l annee ou la supply chain security cessera d etre un sujet de niche pour devenir un imperatif strategique. Les entreprises qui n auront pas mis en place une strategie de securisation de leur supply chain logicielle d ici la fin de l annee s exposent non seulement a des risques de compromission — mais aussi a des sanctions reglementaires. Le CRA europeen entre en application, NIS2 impose des obligations de reporting, et DORA cree des responsabilites specifiques pour le secteur financier. Pour les equipes de developpement francaises, le message est clair : la securite supply chain n est plus un "nice to have" — c est une obligation legale et un prerequis de survie operationnelle. Commencez par le plus simple : fichiers lock verrouilles, npm audit dans CI/CD, et 2FA sur tous vos comptes. Puis evoluez vers Sigstore, SLSA et un registre prive. C est un investissement — mais c est surtout une assurance.

FAQ

Que s est-il passe avec les 317 packages npm compromis en mai 2026 ?

Le 19 mai 2026, StepSecurity et SafeDep ont alerte sur une attaque supply chain massive ciblant l ecosysteme npm. Des hackers ont pris le controle d un compte de mainteneur npm et publie plus de 630 versions malveillantes sur 317 packages en environ 20 minutes. Les versions contenaient du code malveillant concu pour voler des credentials de gestionnaires de mots de passe, des tokens de services cloud (AWS, GCP, Azure) et des tokens CI/CD. Parmi les packages compromis figurait Antv, la bibliotheque de visualisation de donnees d Alibaba.

Quels packages npm ont ete compromis lors de l attaque supply chain de mai 2026 ?

L attaque a touche 317 packages npm avec plus de 630 versions malveillantes publiees. Parmi les packages notables, on trouve les packages de la suite Antv d Alibaba (bibliotheque de visualisation de donnees), ainsi que des packages lies a des outils de developpement courants. Les versions malveillantes ciblaient specifiquement les credentials des gestionnaires de mots de passe (1Password, Bitwarden), les tokens de services cloud (AWS, GCP, Azure) et les tokens CI/CD (GitHub Actions, GitLab CI, npm publish tokens).

Comment savoir si mes projets sont affectes par l attaque npm de mai 2026 ?

Pour verifier si vos projets sont affectes : 1) Executez npm audit dans tous vos projets. 2) Verifiez vos fichiers package-lock.json pour des versions anormalement recentes des packages suspects. 3) Utilisez des outils comme Socket.dev ou Snyk pour scanner vos dependances. 4) Consultez les advisories officiels de npm et de StepSecurity. 5) Si vous utilisez des packages de la suite Antv ou d autres packages compromis, verifiez la version installee et comparez avec les versions malveillantes listees. Rotez immediatement vos credentials si une version malveillante a ete installee.

Comment se proteger contre les attaques supply chain npm en 2026 ?

Pour vous proteger : 1) Utilisez des fichiers lock (package-lock.json ou yarn.lock) et verifiez-les dans votre controle de version. 2) Utilisez npm ci au lieu de npm install dans vos pipelines CI/CD. 3) Activez npm audit dans votre pipeline. 4) Utilisez des outils comme Socket.dev pour detecter les comportements suspects. 5) Configurez Dependabot ou Renovate pour monitorer les mises a jour. 6) Verrouillez les versions exactes dans package.json. 7) Activez la 2FA sur votre compte npm (FIDO2 de preference). 8) Utilisez un registre prive (Verdaccio, Artifactory) comme proxy cache. 9) Implementez Sigstore et SLSA pour verifier la provenance des packages.

Securisez votre supply chain logicielle

Audit de dependances npm, mise en place de registre prive, configuration Dependabot/Renovate, integration Socket.dev, adoption SLSA/Sigstore, formation equipe supply chain security — nous vous accompagnons.

Demander un audit de securite

Articles lies :

Sources : TechCrunch, StepSecurity, SafeDep, OpenSSF, Socket.dev, Snyk