Une campagne de malware baptisée « Mini Shai-Hulud » a ciblé plusieurs paquets logiciels populaires, notamment ceux de TanStack, UiPath, Mistral AI, OpenSearch et Guardrails AI. L’acteur malveillant TeamPCP est suspecté d’être à l’origine de ces attaques.
Les paquets affectés sur les plateformes npm et PyPI ont été modifiés pour inclure un fichier JavaScript obfusqué. Ce dernier est conçu pour collecter des informations sur l’environnement d’exécution du code, une technique courante dans les attaques de la chaîne d’approvisionnement logicielle.
Ces compromissions soulignent la vulnérabilité des écosystèmes de développement open source et la nécessité d’une vigilance accrue quant à la sécurité des dépendances logicielles utilisées par les entreprises et les développeurs.
Source : The Hacker News