Cette nuit, axios, plus de 100 millions de téléchargements npm par semaine, a été compromis. Un attaquant a pris le contrôle du compte npm du mainteneur principal et a publié deux versions vérolées : 1.14.1 et 0.30.4.
La modification ? Une seule dépendance ajoutée : plain-crypto-js@4.2.1. Un package qui n’existait pas la veille, et qui déploie un RAT (Remote Access Trojan) sur ta machine, macOS, Windows, Linux, puis s’auto-détruit pour ne laisser aucune trace.
La suite est réservée à mes patrons
Cet article fait partie des contenus exclusifs que je publie sur Patreon. Rejoins la communauté pour lire la suite, soutenir mon travail et accéder à tous les articles réservés.
Loading comments...