📰 Source : BleepingComputer | Date : 10 juin 2026

GitHub a annoncé plusieurs changements de sécurité majeurs prévus dans npm v12, attendu le mois prochain, visant à bloquer les vecteurs d’attaque exploitant la commande npm install.

🔒 Changements introduits dans npm v12

  • Scripts de cycle de vie (preinstall, install, postinstall) : ne s’exécuteront plus automatiquement depuis les dépendances sans approbation explicite. Cela inclut les builds de modules natifs via node-gyp et les scripts prepare depuis des dépendances Git, locales ou liées.
  • Dépendances Git : npm install ne récupérera plus automatiquement des dépendances depuis des dépôts Git (directes ou transitives), supprimant un vecteur où un fichier .npmrc malveillant pouvait altérer l’exécutable Git utilisé.
  • Dépendances URL distantes (tarballs HTTPS) : ne seront plus résolues automatiquement sans permission explicite, qu’elles soient directes ou transitives.

🎯 Attaques historiques concernées

Ces changements auraient neutralisé plusieurs campagnes documentées :

  • Campagnes de scripts preinstall/postinstall malveillants ciblant eslint-config-prettier et les packages Picasso de Toptal
  • Dizaines de packages npm data-stealers
  • Abus de dépendances Git documentés dans les attaques Shai-Hulud

⚠️ Transition recommandée

GitHub recommande aux développeurs de migrer vers npm 11.16.0 ou supérieur avant le passage à v12, cette version affichant des avertissements pour toutes les actions qui seront bloquées dans v12.

📌 Type d’article : Annonce de mise à jour produit à portée sécuritaire, visant à informer les développeurs et équipes DevSecOps des changements de comportement par défaut de npm pour réduire la surface d’attaque supply chain.

🧠 TTPs et IOCs détectés

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1072 — Software Deployment Tools (Execution)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 3162 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/github-announces-npm-security-changes-to-tackle-supply-chain-attacks/

🖴 Archive : https://web.archive.org/web/20260611095215/https://www.bleepingcomputer.com/news/security/github-announces-npm-security-changes-to-tackle-supply-chain-attacks/