Nouvelles de l'industrie

Le 18 juillet 2025, une bibliothèque JavaScript de confiance, eslint-config-prettier, qui compte plus de 31 millions de téléchargements hebdomadaires, a fait l'objet d'une attaque ciblée de la chaîne d'approvisionnement qui montre à quel point les écosystèmes open-source peuvent être vulnérables. L'attaque a commencé par un courriel d'hameçonnage qui a incité le responsable de la maintenance à divulguer son jeton. En utilisant l'identifiant exposé, l'attaquant a publié des versions non autorisées du paquetage, qui contenait un script de post-installation qui exécutait un trojan DLL sur les machines Windows au cours de l'installation.