Python-Security

L’article publié le 28 juillet 2025 rapporte une attaque de la chaîne d’approvisionnement qui a compromis la version 0.5.15 du package Python populaire num2words, potentiellement liée à l’acteur de menace connu sous le nom de Scavenger. Le package malveillant a été publié sur PyPI sans les balises de dépôt correspondantes, ce qui a immédiatement suscité des inquiétudes. Grâce à une réponse rapide de la communauté et à la suppression rapide par PyPI, des dommages plus importants ont été évités. Les organisations utilisant ce package sont invitées à vérifier immédiatement leurs environnements, à rétrograder à une version antérieure non compromise, et à mettre en œuvre des mesures de sécurité renforcées pour la chaîne d’approvisionnement. ...

Imperva rapporte une attaque sophistiquée impliquant un package Python malveillant nommé ‘cloudscrapersafe’ sur PyPI. Ce package se fait passer pour un outil légitime de scraping web, mais intègre des capacités de vol de cartes de crédit. Le malware cible spécifiquement les transactions des passerelles de paiement, extrayant les numéros de cartes et les dates d’expiration avant d’exfiltrer ces données vers un bot Telegram. Cette attaque illustre les risques des attaques de la chaîne d’approvisionnement et l’importance d’une vigilance accrue lors de l’utilisation d’outils de contournement de sécurité. ...