Hello tout le monde,
Si vous avez un projet dans lequel npm est le socle (backend), je vous invite à regarder si vous avez ces dépendances :
- chalk
- strip-ans
- color-convert
- color-name
- error-ex
- simple-swizzle
- has-ansi
Ces modules sont infectés. Dans le code source de ces derniers, un code malicieux et obfusqué a été injecté. Que fait ce code ? Il regarde si l'application fait des transactions blockchain. Certains vont dire : « ce n'est pas grave ». Mon application ne gère pas de transactions de ce type. Oui, mais :
1. c'est un malware
2. les performances
Bonne journée
source : Anatomy of a Billion-Download NPM Supply-Chain Attack
Si vous avez un projet dans lequel npm est le socle (backend), je vous invite à regarder si vous avez ces dépendances :
- chalk
- strip-ans
- color-convert
- color-name
- error-ex
- simple-swizzle
- has-ansi
Ces modules sont infectés. Dans le code source de ces derniers, un code malicieux et obfusqué a été injecté. Que fait ce code ? Il regarde si l'application fait des transactions blockchain. Certains vont dire : « ce n'est pas grave ». Mon application ne gère pas de transactions de ce type. Oui, mais :
1. c'est un malware
2. les performances
Bonne journée
source : Anatomy of a Billion-Download NPM Supply-Chain Attack
Les développeuses et dev se font suer à faire les choses bien pour au final être à la merci de ce genre de personne. En tout cas, merci de partager ces abus !!!