Bon, l'heure est grave, npm est complètement pété. Globalement, des hackers ont pris le contrôle de pas mal de paquets npm et en profitent pour voler pleins de trucs.

un user/dev fait un npm update/install puis par le jeu des dépendances on se retrouve a download et exec un paquet compromis.

Y'a pas longtemps un pirate a installé des paquets pour voler des cryptomonnaies. Bon il a pas été très intelligent et il s'est vautré dans l'adresse de son wallet (…)

https://www.clubic.com/actualite-573972-avec-2-7-millions-de-telechargements-par-semaine-le-package-npm-is-transforme-en-cheval-de-troie.html

Les hackers viennent de frapper l'écosystème npm. Ils ont compromis le package « is », un utilitaire de vérification de types JavaScript que des millions de développeurs installent chaque semaine. Cette bibliothèque figure parmi les plus téléchargées du registre npm.
Les pirates ont infecté sept packages en parallèle. Ils ont touché eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall et got-fetch. Une faille dans le système d'authentification email de npm leur a permis de tromper les responsables de ces projets et de (…)

Bonjour tout le monde,

Ça fait 5 jours, et personne ne l'a mentionné ici, alors je fais tourner : https://sansec.io/research/polyfill-supply-chain-attack

En gros, un acteur chinois a racheté le nom de domaine polyfill.io et le compte GitHub. Et depuis, il s'en sert pour injecter des malwares. Visiblement, l'auteur original déconseille l'utilisation de polyfill.io, en rajoutant même qu'aujourd'hui, ça ne sert à rien avec les navigateurs actuels.

Pour les gens pas dans le milieu, polyfill.io permet(tait) de fournir des fonctions en (…)