NPM

Suivre
Illustration of a developer's desk with a computer screen showing malicious npm packages stealing credentials across platforms, highlighting cybersecurity risks.

Paquets npm malveillants volent les identifiants des développeurs sur plusieurs plateformes

Lisa Kern Image générée par IA

Dix paquets npm avec fautes de frappe intentionnelles, téléversés le 4 juillet 2025, ont été découverts en téléchargeant un infostealer qui cible des données sensibles sur les systèmes Windows, Linux et macOS. Ces paquets, imitant des bibliothèques populaires, ont échappé à la détection grâce à plusieurs couches d'obfuscation et ont accumulé près de 10 000 téléchargements. La société de cybersécurité Socket a signalé la menace, notant que les paquets restent disponibles dans le registre.

Des paquets malveillants submergent NPM avec plus de 86 000 téléchargements

Theo Klein

La société de sécurité Koi a découvert une campagne appelée PhantomRaven qui a inondé le registre NPM de 126 paquets malveillants depuis août. Ces paquets, téléchargés plus de 86 000 fois, exploitent une fonctionnalité permettant des dépendances non vérifiées provenant de sites non fiables. Fin octobre 2025, environ 80 de ces paquets étaient encore disponibles.

Ce site utilise des cookies

Nous utilisons des cookies pour l'analyse afin d'améliorer notre site. Lisez notre politique de confidentialité pour plus d'informations.
Refuser