Dependency-Management

L’article publié le 28 juillet 2025 rapporte une attaque de la chaîne d’approvisionnement qui a compromis la version 0.5.15 du package Python populaire num2words, potentiellement liée à l’acteur de menace connu sous le nom de Scavenger. Le package malveillant a été publié sur PyPI sans les balises de dépôt correspondantes, ce qui a immédiatement suscité des inquiétudes. Grâce à une réponse rapide de la communauté et à la suppression rapide par PyPI, des dommages plus importants ont été évités. Les organisations utilisant ce package sont invitées à vérifier immédiatement leurs environnements, à rétrograder à une version antérieure non compromise, et à mettre en œuvre des mesures de sécurité renforcées pour la chaîne d’approvisionnement. ...

L’article publié par Emerging Technology Security aborde les implications de sécurité du développement logiciel assisté par l’IA, en particulier le ‘vibe coding’ avec des modèles de langage (LLMs). Feross Aboukhadijeh, PDG de Socket, et Joel de la Garza, partenaire chez a16z, discutent des défis de sécurité posés par ces outils qui, bien qu’ils augmentent la productivité des développeurs, introduisent des risques tels que les dépendances tierces compromises et des pratiques de révision de code inadéquates. ...

L’article publié le 18 juillet 2025 par StepSecurity.io met en lumière un incident de sécurité de la chaîne d’approvisionnement impliquant le package npm populaire eslint-config-prettier. Plusieurs versions de ce package (10.1.6 à 10.1.9) ont été publiées avec des modifications malveillantes, sans changement de code correspondant dans le dépôt officiel. Les versions compromises contiennent un payload spécifique à Windows qui exécute un fichier DLL, ce qui pourrait affecter des milliers de projets mis à jour automatiquement par des outils de gestion de dépendances. Les organisations sont invitées à auditer immédiatement leurs dépendances et à revenir à des versions plus sûres pendant que l’enquête se poursuit. ...