ctx, un paquet de code Python qui facilite la manipulation de dictionnaires, téléchargé en moyenne plus de 20 000 par semaine, a été compromis. Les versions malicieuses volent les variables d’environnement, qui sont exfiltrées vers le serveur au nom trompeur https://anti-theft-web.herokuapp.com .
Les développeurs sauvent souvent des identifiants et des clés dans ces variables.
Similairement, phpass, un paquet pour PHP qui a été téléchargé plus de 2,5 millions de fois, a été compromis pour voler les clés AWS.
Ces deux informations sont confirmées par le cabinet de conseil en cyberdéfense Sonatype, qui constate une forte recrudescence de ce type d’attaques : depuis mars, plus de 500 paquets npm malveillants et 400 paquets visant Azure, Airbnb et Uber ont été découverts.
Cela suffira-t-il pour que les développeurs, sous haute pression pour migrer vers les nouveaux modèles de développement et d’applications dans le nuage, et leurs gestionnaires, prennent la cybersécurité en considération ?
La plupart de ces développements, avec la popularité de la philosophie de modification et de mise en opération continues de code, se reposent abondamment sur des projets en code source ouvert et des paquets de code téléchargés automatiquement à l’aide de gestionnaires de paquets.