L’article de bleepingcomputer.com rapporte un incident survenu sur npm, la plus grande plateforme de registre de logiciels pour JavaScript et Node.js, où le package Stylus a été accidentellement retiré.
Stylus, une bibliothèque légitime largement utilisée avec 3 millions de téléchargements hebdomadaires, a été remplacée par une page de “sécurité en attente”, une mesure habituellement réservée aux packages malveillants. Ce retrait a causé des interruptions dans les pipelines et les builds à travers le monde qui dépendent de Stylus.
Le développeur de Stylus, Lei Chen, a mentionné sur GitHub que le package a été accidentellement marqué comme malveillant, entraînant la défaillance de nombreuses bibliothèques et frameworks dépendants. Chen a également sollicité l’aide de la communauté sur X (anciennement Twitter) pour attirer l’attention de l’équipe officielle de npmjs afin de résoudre ce problème.
Cet incident met en lumière les défis de la gestion des dépendances dans les écosystèmes de développement logiciel, où une erreur administrative peut avoir des répercussions considérables sur de nombreux projets.
L’article est une annonce d’incident, visant à informer la communauté des développeurs de la situation et à solliciter une action rapide de la part de npm.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/npm-accidentally-removes-stylus-package-breaks-builds-and-pipelines/