Actu
Des centaines de packages malveillants ciblent la supply chain open source : commentaire de Tenable
novembre 2024 par Scott Caveza, Research Engineering Manager chez Tenable
Une nouvelle attaque cible les développeurs JavaScript via des centaines de packages malveillants uploadés sur le gestionnaire de paquets NPM. Cette technique vise à infecter les appareils des développeurs dépendant de ces bibliothèques de code. Le commentaire de Scott Caveza, Staff Research Engineer chez Tenable, sur le sujet :
"Les attaques ciblant la supply chain sont devenues une préoccupation majeure depuis l’incident Log4Shell en novembre 2021. Trois ans plus tard, nous observons encore des tentatives visant à publier des packages malveillants dans des dépôts open source. Les attaquants exploitent le typosquatting, une technique qui consiste à créer des noms de packages très similaires à ceux des bibliothèques populaires, dans le but de tromper les développeurs et de les inciter à télécharger du code malveillant. Si cette approche n’est pas nouvelle, elle demeure une menace constante et préoccupante."
