Attaque de chaîne d'approvisionnement sur npm compromet des millions d'apps
Original : ‘No Way To Prevent This,’ Says Only Package Manager Where This Regularly Happens | Kevin Patel
Pourquoi c'est important
Révèle les vulnérabilités systémiques de l'écosystème JavaScript moderne
Une attaque majeure sur le registre npm a compromis des millions d'applications d'entreprise et exposé des milliards de données utilisateurs. Les développeurs JavaScript déplorent l'absence de solutions préventives.
L'écosystème JavaScript fait face à une crise majeure après qu'une attaque de la chaîne d'approvisionnement ait ciblé le registre npm. Un package utilitaire abandonné a été détourné pour injecter du code malveillant dans les builds de production mondiales. Les développeurs affirment que de tels incidents sont imprévisibles malgré leur dépendance à des arbres de dépendances de 40 niveaux maintenus par des inconnus. Contrairement à JavaScript, les écosystèmes Go et Rust, qui disposent de bibliothèques standards robustes et de vérifications cryptographiques, n'ont signalé aucun incident similaire.