L’article publié le 28 juillet 2025 rapporte une attaque de la chaîne d’approvisionnement qui a compromis la version 0.5.15 du package Python populaire num2words, potentiellement liée à l’acteur de menace connu sous le nom de Scavenger.
Le package malveillant a été publié sur PyPI sans les balises de dépôt correspondantes, ce qui a immédiatement suscité des inquiétudes. Grâce à une réponse rapide de la communauté et à la suppression rapide par PyPI, des dommages plus importants ont été évités. Les organisations utilisant ce package sont invitées à vérifier immédiatement leurs environnements, à rétrograder à une version antérieure non compromise, et à mettre en œuvre des mesures de sécurité renforcées pour la chaîne d’approvisionnement.
Techniquement, l’attaque a été détectée par l’absence d’artefacts de dépôt et une analyse comportementale reliant cet incident à des campagnes antérieures de Scavenger. Les méthodes de détection comprenaient la vérification des balises de dépôt, l’analyse du timing des publications de packages, et le renseignement sur les menaces piloté par la communauté.
Les mesures d’atténuation recommandées incluent la vérification des versions de packages à l’aide de ‘pip list’, la rétrogradation forcée à la version 0.5.14, l’audit des systèmes pour détecter des indicateurs de compromission, et l’implémentation d’outils de surveillance de la sécurité à l’exécution comme StepSecurity Harden-Runner pour les environnements CI/CD.
Ce rapport d’incident met en lumière l’importance cruciale de la surveillance vigilante des dépendances open source et des pratiques de sécurité robustes pour la chaîne d’approvisionnement.
🔗 Source originale : https://www.stepsecurity.io/blog/supply-chain-security-alert-num2words-pypi-package-shows-signs-of-compromise