L’empoisonnement des paquets open source utilisés dans la programmation fait fureur. Deux paquets NPM (node.js repository) comptant 22 millions de téléchargements ont été compromis en raison de la compromission des comptes de leurs développeurs.

Coa, un parseur d’options de ligne de commande et rc, un chargeur d’amorçage ont été distribués avec une surprise : ils ont volé des mots de passe sur Windows, grâce à une variante de DanaBot téléchargée. NPM a conseillé d’activer le deuxième facteur d’authentification pour tous les comptes.

L’impact est impossible à calculer. Une fois encore, la réflexion : dans quelle mesure sommes-nous dépendants de logiciels et de bibliothèques tiers ? Et donc, dans quelle mesure dépendons-nous de l’hygiène de sécurité du développeur du jour ?

Plus d’information:
https://thehackernews.com/2021/11/two-npm-packages-with-22-million-weekly.html