Webtagr - Résumé de news de technologie

Tags populaires：

Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Alerte critique : attaque massive de la chaîne d’approvisionnement touchant l’écosystème NPM

2025-09-16

Plus de 40 paquets npm, dont le paquet populaire @ctrl/tinycolor (plus de 2 millions de téléchargements hebdomadaires), ont été compromis dans le cadre d’une attaque sophistiquée de la chaîne d’approvisionnement. L’attaquant a utilisé un mécanisme d’autopropagation pour infecter les paquets dépendants en aval, entraînant un compromis en cascade. La charge utile est un script empaqueté par Webpack qui vole les informations d’identification de la nuage AWS, GCP, GitHub et d’autres, en établissant une persistance via GitHub Actions. L’attaque a entraîné le vol généralisé d’informations d’identification ; une action immédiate est nécessaire pour vérifier les paquets affectés et faire pivoter toutes les informations d’identification.

Lire plus

Compromission d'une action GitHub : tj-actions/changed-files injecte du code malveillant

2025-03-15

Un incident de sécurité critique a compromis l'action GitHub tj-actions/changed-files, affectant plus de 23 000 répertoires. Les attaquants ont modifié rétroactivement plusieurs balises de version pour pointer vers un commit malveillant, exposant des secrets CI/CD dans les journaux de build publics. StepSecurity Harden-Runner a détecté cette anomalie. L'action compromise exécute un script Python malveillant qui extrait les secrets du processus Runner Worker. Une action immédiate est nécessaire : cessez d'utiliser l'action affectée et vérifiez les journaux de build pour détecter les secrets divulgués.

Lire plus