Journal npm et badaboum

Posté par  . Licence CC By‑SA.
Étiquettes :
31
17
sept.
2025

Bon, l'heure est grave, npm est complètement pété. Globalement, des hackers ont pris le contrôle de pas mal de paquets npm et en profitent pour voler pleins de trucs.

un user/dev fait un npm update/install puis par le jeu des dépendances on se retrouve a download et exec un paquet compromis.

Y'a pas longtemps un pirate a installé des paquets pour voler des cryptomonnaies. Bon il a pas été très intelligent et il s'est vautré dans l'adresse de son wallet (…)

ConFoo Montreal 2026: L'appel aux conférenciers est ouvert

Posté par  (site web personnel) . Édité par Benoît Sibaud. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
10
10
août
2025
Communauté

La conférence ConFoo est de retour pour sa 24 e édition, du 25 au 27 février 2026 à l’Hôtel Bonaventure de Montréal! Que vous soyez un développeur junior ou un CTO, venez découvrir pourquoi ConFoo est devenu l’un des événements phares pour les professionnels en hautes technologies.

Nous sommes présentement à la recherche d’experts d’expérience souhaitant joindre notre équipe de conférenciers pour l’édition 2026! De PHP à JavaScript, en passant par tous les enjeux liés à la sécurité et au développement de l’IA, ConFoo couvre chaque année l’ensemble des sujets qui font bouger l’industrie.

Offertes en français ou en anglais, nos présentations sont généralement d’un format de 45 minutes, incluant un 10 minutes de questions des participants. Nos conférenciers invités profitent aussi d’un traitement privilégié; comprenant la couverture de leurs frais de déplacement et d’hébergement, en plus de l’accès à l’expérience complète de l’événement (présentations, repas, etc.).

Vous avez jusqu’au 21 septembre prochain pour soumettre votre projet de présentation!

Vous cherchez simplement à vous inscrire? Profitez dès maintenant d’un rabais de 300$ en réservant votre place d’ici le 17 octobre!

Faites partie de l’aventure avec nous et découvrez comment l’intelligence humaine est en train de façonner le milieu des hautes technologies!

Journal Une nouvelle attaque supply chain sur npm

Posté par  . Licence CC By‑SA.
Étiquettes :
30
26
juil.
2025

https://www.clubic.com/actualite-573972-avec-2-7-millions-de-telechargements-par-semaine-le-package-npm-is-transforme-en-cheval-de-troie.html

Les hackers viennent de frapper l'écosystème npm. Ils ont compromis le package « is », un utilitaire de vérification de types JavaScript que des millions de développeurs installent chaque semaine. Cette bibliothèque figure parmi les plus téléchargées du registre npm.
Les pirates ont infecté sept packages en parallèle. Ils ont touché eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall et got-fetch. Une faille dans le système d'authentification email de npm leur a permis de tromper les responsables de ces projets et de (…)

Journal Fail2ban, ajustement des valeurs par defaut

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
12
21
juin
2025

Bonjour tout le monde.

J'ai peu d'expérience avec fail2ban, mais j'ai pu observer que certaines valeurs ou réglages par défaut me semblaient assez laxistes ou inefficaces.

Par exemple j'ai pu constater sur mes serveurs web perso de nombreuses tentatives d'extraction de données confidentielles vers des fichiers qui n'existent pas sur mes machines, ce qui renvoi suivant les cas des erreur 404 ou des erreur 302.

je peux comprendre qu'on ne va pas bannir sur ce genre d'erreur, mais quand ça (…)