Une équipe de cyberpirates est parvenue à compromettre le package npm « is », téléchargé 2,7 millions de fois par semaine. Cette attaque de phishing coordonnée a infecté sept packages populaires de l’écosystème JavaScript avec des logiciels malveillants multiplateforme.
Les attaques sur la supply chain sont amenées à croître, et cela touche surtout l’open-source, malheureusement. Il suffit d’un build d’une application qui fait appel à cette dépendance mise à jour vers cette version usurpée…Demain ce sera un paquet d’une distribution Linux, un autre « Jia Tan » qui aura des conséquences encore plus graves.
Des maintainers qui se voient leur accès voler par phishing ou ingénierie sociale, est un fait de plus en plus fréquent.
1 « J'aime »