Attaque massive de la chaîne d'approvisionnement des paquets NPM : millions de téléchargements compromis
Une attaque majeure de la chaîne d'approvisionnement a ciblé l'écosystème npm, compromettant de nombreux paquets avec plus de 2,6 milliards de téléchargements hebdomadaires. Les attaquants ont utilisé des e-mails de phishing pour accéder au compte d'un mainteneur, injectant ensuite un logiciel malveillant dans plusieurs paquets largement utilisés. Ce logiciel malveillant intercepte les transactions de cryptomonnaies dans le navigateur, redirigeant les fonds vers des portefeuilles contrôlés par les attaquants. Bien que l'équipe npm ait supprimé certaines versions malveillantes, l'incident souligne les vulnérabilités des chaînes d'approvisionnement logicielles et la menace croissante du phishing et des attaques par navigateur. L'impact a été quelque peu atténué car il n'a affecté que les utilisateurs ayant effectué des installations récentes dans un laps de temps limité.