Slopsquatting

Selon Mend (référence: mend.io), une nouvelle voie d’attaque dite slopsquatting exploite la tendance des assistants de codage IA à proposer des dépendances inexistantes, que des attaquants enregistrent ensuite en packages malveillants, créant un risque majeur pour la supply chain logicielle. Un package halluciné a déjà cumulé plus de 30 000 téléchargements. L’étude, menée sur 16 LLMs et 500 000+ prompts, mesure des taux d’hallucination de packages allant de 3,59% (GPT-4 Turbo) à 33%+ (CodeLlama). Les modèles open-source affichent 21,7% en moyenne contre 5,2% pour les modèles commerciaux. Au total, 205 000+ noms de packages hallucinés ont été observés, dont 43% répétés de manière récurrente. ...

Le slopsquatting est une nouvelle forme de menace qui cible la chaîne d’approvisionnement. Les attaquants utilisent des générateurs de code assistés par intelligence artificielle pour recommander des packages hallucinés. Ces packages sont ensuite enregistrés et armés par les attaquants, créant ainsi un nouveau vecteur d’attaque potentiel. Cela soulève des préoccupations majeures en matière de sécurité, car les attaquants peuvent potentiellement utiliser cette technique pour injecter du code malveillant dans des applications légitimes. Les entreprises doivent être conscientes de cette menace et prendre des mesures pour protéger leur chaîne d’approvisionnement contre de telles attaques. ...