https://cyberveille.ch/tags/@withgoogle/stitch-sdk/ Recent content in @Withgoogle/Stitch-Sdk on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Tue, 23 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-23-withgoogle-stitch-sdk-scope-squat-npm-pour-vol-de-credentials-developpeurs/ Tue, 23 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-23-withgoogle-stitch-sdk-scope-squat-npm-pour-vol-de-credentials-developpeurs/ <h2 id="-contexte">🎯 Contexte</h2> <p>Analyse publiée le 20 juin 2026 par SafeDep sur la découverte d&rsquo;un package npm malveillant <code>@withgoogle/stitch-sdk</code> (versions v0.1.1 et v0.1.2), conçu pour imiter le SDK officiel de Google Stitch AI (<code>@google/stitch-sdk</code>, 30 000+ téléchargements hebdomadaires).</p> <h2 id="-technique-dattaque--scope-squatting">🔍 Technique d&rsquo;attaque : Scope Squatting</h2> <p>L&rsquo;attaquant a exploité le fait que npm ne vérifie pas les marques déposées lors de l&rsquo;enregistrement de scopes. Le produit Google est accessible via <code>stitch.withgoogle.com</code>, mais son scope npm officiel est <code>@google</code>. L&rsquo;attaquant a enregistré le scope <code>@withgoogle</code> (premier arrivé, premier servi) et publié un package avec le <strong>même nom de base</strong> que le SDK légitime, avec des <strong>numéros de version identiques</strong> (0.1.1, 0.1.2).</p>