Un paquet PyPI malveillant vole les secrets des développeurs en silence
Le paquet PyPI Xinference, apparemment légitime, contient du code malveillant destiné à dérober les secrets et les identifiants des développeurs.
Publié 10sem·1 média·Important·maj 10sem
≈ 28s
Le fait
Cette découverte alerte la communauté open source sur les risques de compromission de la chaîne d'approvisionnement logicielle via des dépôts populaires.
Les développeurs sont invités à auditer leurs dépendances et à renforcer les mécanismes de vérification des paquets tiers.
Un paquet Python malveillant nommé elementary-data, téléchargé plus de 100 000 fois, a volé les identifiants d'accès aux services cloud (AWS, Azure, GCP).
Les efforts pour introduire du code malveillant dans les dépendances open-source deviennent plus sophistiqués et coordonnés, exploitant la confiance envers les petits projets maintenus par une personne.