Journal Une nouvelle attaque supply chain sur npm

https://www.clubic.com/actualite-573972-avec-2-7-millions-de-telechargements-par-semaine-le-package-npm-is-transforme-en-cheval-de-troie.html

Les hackers viennent de frapper l'écosystème npm. Ils ont compromis le package « is », un utilitaire de vérification de types JavaScript que des millions de développeurs installent chaque semaine. Cette bibliothèque figure parmi les plus téléchargées du registre npm.
Les pirates ont infecté sept packages en parallèle. Ils ont touché eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall et got-fetch. Une faille dans le système d'authentification email de npm leur a permis de tromper les responsables de ces projets et de voler leurs tokens d'accès.
Le malware installé établit une connexion WebSocket permanente avec les serveurs des pirates.