Une attaque de six minutes a compromis le modèle de confiance du développement JavaScript moderne, poussant 84 versions de paquets malveillants sur 42 paquets de l'espace de noms @tanstack via un pipeline de publication légitime. Le "ver" s'est propagé à plus de 170 paquets sur npm et PyPI, affectant plus de 518 millions de téléchargements cumulatifs et ciblant le vol de crédentiels.
Em 31 de março de 2026, a Anthropic publicou acidentalmente 513 mil linhas do código-fonte do seu agente Claude Code no npm devido a um erro de empacotamento. Este vazamento expôs a arquitetura interna, resultando em duas CVEs críticas que permitem execução remota de código e exfiltração de chaves API.
Des versions malveillantes du package npm node-ipc ont été découvertes, contenant des charges utiles de vol/backdoor. Le malware dérobe les identifiants d'outils d'IA et de services cloud tels qu'AWS, Azure et GCP, exfiltrant les données via HTTPS et DNS.
npm a rendu les paquets privés gratuits, suivant une tendance des plateformes qui suppriment les coûts des conteneurs pour maintenir le verrouillage. Cela permet une monétisation au niveau de la couche d'intelligence (comme les fonctionnalités d'IA), un modèle inversé par rapport aux API d'IA comme ChatGPT, qui ajoutent désormais des fonctionnalités autour des données utilisateur et de la personnalisation.
Une attaque de la chaîne d'approvisionnement NPM a contourné l'authentification à deux facteurs de GitHub, compromettant le compte d'un développeur et publiant des paquets malveillants. Cela met en péril l'écosystème JavaScript, avec des impacts potentiels sur des milliers de projets dépendants, soulignant les vulnérabilités de la sécurité de la chaîne d'approvisionnement logicielle.
Une attaque sophistiquée sur la chaîne d'approvisionnement npm a touché 42 paquets TanStack, publiant 84 versions malveillantes en 6 minutes. Les attaquants ont exploité un déclencheur GitHub Actions dangereux, sans avoir besoin de mots de passe volés.
Ce contenu propose un guide rapide sur la défense npm en 30 secondes, destiné aux développeurs. Il fournit des conseils de sécurité essentiels pour les projets de codage.