Découvrez nos derniers articles sur le développement web, le design et les technologies digitales qui façonnent l'avenir
Si vous tournez sous Arch Linux et que vous piochez vos paquets dans l'AUR, lâchez ce que vous faites 2 minutes et lisez mon article. Car plus de 400 paquets de l'Arch User Repository ont été vérolés ce 11 juin, et le truc qu'ils embarquent ne rigole pas du tout. En effet, des chercheurs de...
Un ver qui se réplique tout seul, des milliers de secrets publiés au grand jour, des portefeuilles crypto siphonnés. npm v12 tire les leçons de l'hécatombe : plus aucun script d'installation ne s'exécutera sans votre accord.
La supply chain a connu une nouvelle attaque, limitée mais réelle. Les 73 dépôts concernés incluent Azure, Azure-samples et Microsoft Docs. Ils ont réussi à perturber les pipelines d'intégration continue. L'incident remonterait au 5 juin dernier. BleepingComputer indique qu'il a fallu seulement 105...
Du code piégé glissé dans des paquets signés Red Hat, et téléchargé environ 80 000 fois par semaine. C'est le bilan d'une attaque repérée le 1er juin. Pour bien saisir, il faut d'abord savoir ce qu'est npm. C'est l'immense bibliothèque où les développeurs JavaScript piochent des briques de code...
TeamPCP semble apprécier sa recette : compromettre un maillon de la chaîne logistique du logiciel pour tisser sa toile. Cette fois-ci, 160 paquets NPM ont été affectés, avec à la clé plusieurs entreprises de premier plan.
Vous avez confiance dans le nom qui est affiché à côté d'un commit GitHub ? Bah vous pouvez arrêter tout de suite car le chercheur Shani Lavi a documenté il y a quelques années ce que les devs Git sérieux savent depuis longtemps : N'importe qui peut publier un commit avec n'importe quelle identité,...
Si vous avez installé Bitwarden CLI via npm entre 17h57 et 19h30 PM (heure de New York) ce 22 avril, faut faire le ménage sur votre machine de toute urgence !! En effet, le package @bitwarden/cli version 2026.4.0 a été compromis durant 93 minutes, et le malware qui s'y trouvait a fait des dégâts...
60 Mo de source maps (ces fichiers qui permettent de remonter du code minifié à l'original) ont été oubliés dans un paquet npm. Et voilà comment Anthropic a involontairement balancé en public le code source complet de Claude Code, son outil à 2.5 milliards de dollars de revenus annuels. Alors...
Des faux entretiens d'embauche avec des repos GitHub vérolés pour piéger les devs Next.js... on croit rêver et pourtant, Microsoft vient de documenter cette campagne ciblée et vous allez voir, c'est violent. En fait, un groupe de hackers se fait actuellement passer pour des recruteurs et contacte...
Après l'attaque massive de septembre 2025 qui a vérolé 18 packages ultra-populaires (coucou debug et chalk ) et la campagne Shai-Hulud 2.0 qui a siphonné les credentials cloud de 25 000 dépôts GitHub, on peut le dire, on est officiellement dans la sauce. Surtout si vous êtes du genre à faire un npm...
Depuis quelques mois, les attaques contre la supply chain logicielle se multiplient et constituent une menace malheureusement trop souvent ignorée des développeurs. Or, si des paquets NPM sont compromis, potentiellement, VOTRE propre chaîne peut l'être si vous récupérez des paquets malveillants....
Romain, fidèle lecteur de korben.info a développé un scanner pour détecter l’attaque Shai-Hulud qui a secoué l’écosystème npm dernièrement ! L’occasion parfaite pour moi de vous raconter cette histoire complètement dingue. Vous vous souvenez de CrowdStrike ? Cette entreprise de...