Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Les paquets DuckDB npm compromis par un logiciel malveillant

2025-09-09
Les paquets DuckDB npm compromis par un logiciel malveillant

Les paquets npm Node.js de DuckDB ont été compromis par une attaque sophistiquée de phishing. Des versions malveillantes de quatre paquets ont été publiées, contenant un code conçu pour interférer avec les transactions de cryptomonnaie. Heureusement, ces versions malveillantes ne semblent pas avoir été téléchargées avant d'être identifiées et dépréciées par l'équipe DuckDB. L'équipe a rapidement réagi en dépréciant les versions malveillantes et en publiant des versions mises à jour et sécurisées. L'attaque impliquait un site Web npm factice convaincant qui a trompé un mainteneur pour qu'il réinitialise son 2FA, donnant aux attaquants la possibilité de publier les paquets malveillants. Cet incident souligne l'importance de pratiques de sécurité robustes, même pour les développeurs expérimentés.

(github.com)
Développement
La fin du codage manuel ? Le point de vue d’un développeur d’Amazon sur une startup
Attaque par logiciel malveillant sur un paquet NPM et défense avec LavaMoat