Axios devient un cheval de troie
Faille axios, dépendances Node risquées, pourquoi privilégier fetch natif et choisir vos libs consciemment pour éviter bugs et attaques.
On y revient, encore une faille dans une dépendance node avec axios qui vient de se faire hacker par un groupe nord coréen.
Cette librairie est utilisée pour skip quelques étapes pourtant simple à faire avec fetch qui est natif.
Il y a un adage qui dit:
Ne pas réinventer la roue.
Mais je vous ai déjà parlé de ce que disait mon mentor Aïssa:
Quand tu peux faire les choses toi-même, fais-le. Etre tributaire d'une lib externe, c'est subir leur copyright et leurs failles de sécurité.
Bien sûr, il ne voulait pas qu'on refasse absolument tout, mais il y a des dépendances qui sont utilisés de manière automatique pour rien.
Il faut toujours arbitrer pourquoi on se sert ou pas d'une chose et surtout:
Comprendre ce qu'on délègue et le choisir ses dépendances consciemment.
Surtout qu'aujourd'hui accompagné de votre fidèle Claude, vous pouvez tout à fait refaire ce que vous voulez, en un rien de temps.
Donc n'utilisez pas tout ce qui traine. Et la popularité d'un module n'est en rien une excuse pour s'en servir.
Axios était très populaire, ça n'a pas empêché le pire.
La règle, c'est de se demander pourquoi avant de faire pnpm add...
FAQ
Qu'est-ce qui s'est passé exactement avec Axios ?
Axios a été compromis par un groupe nord-coréen qui a exploité la chaîne de dépendances npm pour introduire du code malveillant. C'est un exemple concret d'attaque par la supply chain, où c'est la bibliothèque elle-même qui devient le vecteur d'infection.
Pourquoi utiliser fetch natif plutôt qu'Axios ?
Fetch est intégré nativement dans les navigateurs modernes et dans Node.js depuis la version 18, sans installation ni dépendance externe. Pour la majorité des appels HTTP courants, il couvre les besoins sans ajouter de surface d'attaque supplémentaire.
Est-ce qu'une lib populaire est forcément sûre ?
La popularité ne garantit ni la sécurité ni la fiabilité dans le temps. Plus une bibliothèque est répandue, plus elle devient une cible attractive pour des acteurs malveillants, comme le montre le cas Axios.
Comment choisir si une dépendance vaut vraiment le coup ?
La bonne question à se poser avant chaque installation est de savoir ce que la lib apporte que l'on ne peut pas faire nativement ou rapidement soi-même. Si la réponse est floue, c'est souvent signe qu'on peut s'en passer.
Faut-il supprimer toutes ses dépendances npm par prudence ?
Non, l'idée n'est pas de tout réécrire mais d'installer consciemment, en évaluant le rapport entre la valeur apportée et le risque accepté. Certaines libs restent indispensables, d'autres s'utilisent par habitude ou paresse sans réelle justification.
Alexandre P.
Développeur passionné depuis plus de 20 ans, j'ai une appétence particulière pour les défis techniques et changer de technologie ne me fait pas froid aux yeux.
Poursuivre la lecture
