The Worm in the Registry

Une attaque de six minutes a compromis le modèle de confiance du développement JavaScript moderne, poussant 84 versions de paquets malveillants sur 42 paquets de l'espace de noms @tanstack via un pipeline de publication légitime. Le "ver" s'est propagé à plus de 170 paquets sur npm et PyPI, affectant plus de 518 millions de téléchargements cumulatifs et ciblant le vol de crédentiels.