Google va obliger tous les développeurs Android à s’enregistrer avec une pièce d’identité et à payer 25 dollars, même ceux qui distribuent leurs apps en dehors du Play Store. F-Droid, le dépôt d’applications open source qui existe depuis quinze ans, dit que c’est une menace pour sa survie.
L’été dernier, Google a annoncé que toutes les applications installées sur des appareils Android certifiés devront obligatoirement être liées à un compte développeur vérifié. Cette obligation entrera en vigueur dès le mois de septembre prochain au Brésil, en Indonésie, à Singapour et en Thaïlande. Le reste du monde suivra quatre mois plus tard.
La société Aikido Security a découvert une campagne de malware baptisée Glassworm qui utilise des caractères Unicode invisibles pour dissimuler du code malveillant.
Plus de 150 dépôts GitHub, des paquets npm et des extensions VS Code sont touchés, et le malware utilise la blockchain Solana comme serveur de commande. L’objectif : voler les identifiants de portefeuilles crypto.
Le principe est assez fourbe. Les attaquants utilisent des caractères Unicode dits PUA (Private Use Area), qui ne s’affichent pas du tout à l’écran, mais qui contiennent quand même des valeurs exploitables.