D'apres le site, le problème s'est posé le 8 septembre de 9h am à 11h am EST, c-a-d de 4h à 6h du matin heure de Paris. A 11h, il était supprimé de Qix.
J’étais parti de cette source mais en effet on dirait que ça s’allonge… En même temps npm (le dépôt et la société qui est derrière) n’en n’est pas à son premier flop.
# Mon projet est-il impacté ?
Posté par Cyrille Pontvieux (site web personnel, Mastodon) . Évalué à 7 (+5/-0).
Si vous utilisez yarn, voici ce que vous pouvez faire pour voir si vous avez un paquet infecté :
Pour npm, il faut remplacer par
npm list --all
, et pour pnpm parpnpm list --parseable
[^] # Re: Mon projet est-il impacté ?
Posté par raphj (site web personnel) . Évalué à 4 (+2/-0).
Et aussi les paquets DuckDB versions 1.3.3 et 1.29.2.
https://github.com/duckdb/duckdb-node/security/advisories/GHSA-w62p-hx95-gf2c
Je me demande si on va découvrir encore d'autres paquets compromis.
Dans le doute, je n'ai pas mis à jour mes instances PeerTube aujourd'hui vers la version qui vient de sortir.
[^] # Re: Mon projet est-il impacté ?
Posté par vitanix . Évalué à 3 (+2/-0).
Il y a une liste plus conséquente de packet ici :
https://thehackernews.com/2025/09/20-popular-npm-packages-with-2-billion.html
La liste :
et :
et j'ai bien peur, que la liste va s’allonger.
Ce que j'aimerais bien savoir c'est à partir de quand, le piratage a été fait.
[^] # Re: Mon projet est-il impacté ?
Posté par vitanix . Évalué à 3 (+2/-0).
D'apres le site, le problème s'est posé le 8 septembre de 9h am à 11h am EST, c-a-d de 4h à 6h du matin heure de Paris. A 11h, il était supprimé de Qix.
[^] # Re: Mon projet est-il impacté ?
Posté par Cyrille Pontvieux (site web personnel, Mastodon) . Évalué à 2 (+0/-0).
J’étais parti de cette source mais en effet on dirait que ça s’allonge… En même temps npm (le dépôt et la société qui est derrière) n’en n’est pas à son premier flop.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.