supply chain attack

9 items

NEWSDEV.to AI·il y a 16j

TrapDoor Malware Campaign Hijacks AI Coding Tools to Target Crypto Developers

La campagne de logiciels malveillants "TrapDoor" représente une nouvelle menace pour les développeurs de cryptomonnaies, utilisant des attaques de la chaîne d'approvisionnement via des packages malveillants pour détourner les outils de codage d'IA. Elle s'infiltre dans les environnements de développement pour voler des actifs numériques, marquant une évolution sophistiquée des tactiques cybercriminelles.

cryptocurrency cybersecurity security supply chain attack

ARTICLEDEV.to AI·il y a 28j

The Worm in the Registry

Une attaque de six minutes a compromis le modèle de confiance du développement JavaScript moderne, poussant 84 versions de paquets malveillants sur 42 paquets de l'espace de noms @tanstack via un pipeline de publication légitime. Le "ver" s'est propagé à plus de 170 paquets sur npm et PyPI, affectant plus de 518 millions de téléchargements cumulatifs et ciblant le vol de crédentiels.

JavaScript NPM security supply chain attack

ARTICLEDEV.to AI·01/05/2026

TeamPCP resumes supply chain attacks, poisoning xinference PyPI and triggering a Bitwarden CLI cascade via compromised Docker image.

La campagne d'attaques de la chaîne d'approvisionnement TeamPCP a repris avec des compromissions simultanées ciblant le package d'inférence AI xinference, Checkmarx KICS et Bitwarden CLI. Cela a un impact direct sur la sécurité de l'IA en empoisonnant un framework de service de modèles LLM/ML largement utilisé.

cybersecurity security supply chain attack malware

ARTICLEDEV.to AI·20/04/2026

Security Bite: Package Hallucination — What It Is and How to Fix It

Les assistants de codage IA peuvent suggérer des paquets logiciels inexistants que des attaquants enregistrent avec des logiciels malveillants, créant ainsi une vulnérabilité appelée "hallucination de paquet". Ce vecteur d'attaque permet l'installation de paquets malveillants, compromettant la sécurité des projets de développement.

AI coding assistant software supply chain security supply chain attack AI security

NEWSDEV.to AI·il y a 25j

TeamPCP Steals 5GB of Mistral AI Source Code via Supply Chain Attack

Le groupe de menaces TeamPCP a volé 5 Go du code source de Mistral AI via une attaque de la chaîne d'approvisionnement, exigeant 25 000 $ ou menaçant de divulguer les données. Mistral AI a confirmé la violation mais a déclaré que les référentiels principaux et les données des utilisateurs n'étaient pas affectés.

security cyberattack data breach Mistral AI

ARTICLEDEV.to AI·il y a 24j

Malicious node-ipc Versions Target Cloud, AI Tool Credentials via Supply Chain Backdoor

Des versions malveillantes du package npm node-ipc ont été découvertes, contenant des charges utiles de vol/backdoor. Le malware dérobe les identifiants d'outils d'IA et de services cloud tels qu'AWS, Azure et GCP, exfiltrant les données via HTTPS et DNS.

cloud computing NPM security supply chain attack

NEWSDEV.to AI·il y a 17j

Autonomous Lab Alert: NPM Supply Chain Attack

Une attaque de la chaîne d'approvisionnement NPM a contourné l'authentification à deux facteurs de GitHub, compromettant le compte d'un développeur et publiant des paquets malveillants. Cela met en péril l'écosystème JavaScript, avec des impacts potentiels sur des milliers de projets dépendants, soulignant les vulnérabilités de la sécurité de la chaîne d'approvisionnement logicielle.

vulnerability JavaScript NPM security

NEWSOpenAI Blog·10/04/2026

Our response to the Axios developer tool compromise

OpenAI a réagi au compromis de l'outil de développeur Axios en renouvelant les certificats de signature de code macOS et en mettant à jour ses applications. L'entreprise a confirmé qu'aucune donnée utilisateur n'avait été compromise lors de l'attaque de la chaîne d'approvisionnement.

data protection OpenAI supply chain attack macOS

ARTICLEDEV.to AI·il y a 29j

What now? explaining the TanStack Supply Chain Attack

Une attaque sophistiquée sur la chaîne d'approvisionnement npm a touché 42 paquets TanStack, publiant 84 versions malveillantes en 6 minutes. Les attaquants ont exploité un déclencheur GitHub Actions dangereux, sans avoir besoin de mots de passe volés.

GitHub Actions JavaScript NPM security