Une attaque de la chaîne d'approvisionnement compromet des packages NPM populaires
L’actualité, publiée le 21 juillet 2025, rapporte une attaque majeure de la chaîne d’approvisionnement qui a compromis des packages NPM populaires. Cette attaque a permis l’installation du malware ‘pycoon’ sur les systèmes Windows. Les attaquants ont réussi en phishant les mainteneurs de packages NPM, publiant ensuite des versions malveillantes de packages légitimes tels que eslint-config-prettier et eslint-plugin-prettier. Cette attaque met en lumière des faiblesses critiques dans les outils d’analyse de composition logicielle (SCA) et les systèmes de conseil en sécurité, car des fournisseurs majeurs comme Snyk et GitHub n’ont pas réussi à signaler correctement les packages malveillants. ...