16 Sep
Introduction
Les attaques sur la chaîne d’approvisionnement logicielle représentent l’un des plus gros défis actuels de la cybersécurité. Récemment, une attaque de ce type a compromis 40 packages sur le registre npm, mettant en lumière les enjeux sécuritaires liés aux dépendances aux bibliothèques externes. Voici tout ce que vous devez savoir sur cette menace et les moyens de vous en protéger.
Comment l’attaque s’est-elle déroulée ?
Les versions compromises de ces bibliothèques incluent une fonction malveillante, NpmModule.updatePackage, qui bypass la sécurité traditionnelle en modifiant le fichiers package.json, y ajoutant une charge virale (bundle.js). Ce script injecte un scanner légitime (truffle scanner
( pour voler plusieurs clés SSH et plus)
)
comme des informations. respérateuravec.
Similaire
