Menu

Aucun menu défini dans le customizer.

Catégorie : NPM

Ajout automatique par WPeMatico

Actus Automatisées, Actus Tech, developpement/outils-developpement, developpement/web-developpement, Emscripten, JavaScript, NPM, Sciences

tar-vfs-index – Monter du .tar.gz dans le browser sans l’extraire

Distribuer des paquets binaires en WebAssembly, c’est galère. Vous téléchargez le .tar.gz, vous le gunzippez, vous l’extrayez en mémoire… et ça rame sévèrement !! Mais youpi, Jeroen Ooms (qui contribue à webR et bosse chez ROpenSci) vient de publier
tar-vfs-index
, un petit npm package qui casse cette malédiction des enfers en sautant carrément l’étape extraction.

L’astuce est toute bête ! Au lieu d’extraire l’archive, on génère un fichier d’index qui liste la taille et l’offset de chaque fichier dans le tar. Du coup le navigateur n’a plus qu’à monter le blob du tar comme un système de fichiers virtuel, et chaque lecture devient alors un simple slice du blob à la bonne position. Pas d’extraction donc, mais juste du slicing à la demande !

Actus Automatisées, Actus Tech, axios, cheval de Troie, cybersecurite/failles-vulnerabilites, cybersecurite/malwares-menaces, NPM, Sciences

Axios, l’une des bibliothèques les plus populaires de npm, piratée pour installer un cheval de Troie

La bibliothèque JavaScript Axios, téléchargée plus de 100 millions de fois par semaine, a été compromise. Un attaquant a détourné le compte du mainteneur principal pour y glisser un malware multiplateforme qui vise aussi bien macOS que Windows et Linux.

Un compte piraté, deux versions vérolées

Tout est parti du compte npm de jasonsaayman, le mainteneur principal d’Axios. L’attaquant a réussi à prendre le contrôle du compte, a changé l’adresse mail vers un ProtonMail anonyme, et a publié deux versions malveillantes : axios 1.14.1 et axios 0.30.4.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, cybersecurite/malwares-menaces, GitHub, malware, NPM, Sciences

Un malware invisible se cache dans des caractères Unicode sur GitHub, npm et VS Code

La société Aikido Security a découvert une campagne de malware baptisée Glassworm qui utilise des caractères Unicode invisibles pour dissimuler du code malveillant.

Plus de 150 dépôts GitHub, des paquets npm et des extensions VS Code sont touchés, et le malware utilise la blockchain Solana comme serveur de commande. L’objectif : voler les identifiants de portefeuilles crypto.

Des caractères invisibles qui cachent du code

Le principe est assez fourbe. Les attaquants utilisent des caractères Unicode dits PUA (Private Use Area), qui ne s’affichent pas du tout à l’écran, mais qui contiennent quand même des valeurs exploitables.

Actus Automatisées, Actus Tech, analyse de malware, cybersecurite/malwares-menaces, developpement, NPM, phishing, Sciences

Faux entretiens d’embauche – Le piège qui vise les devs Next.js

Des faux entretiens d’embauche avec des repos GitHub vérolés pour piéger les devs Next.js… on croit rêver et pourtant,
Microsoft vient de documenter cette campagne ciblée
et vous allez voir, c’est violent.

En fait, un groupe de hackers se fait actuellement passer pour des recruteurs et contacte des développeurs JavaScript en leur proposant un entretien technique. Le deal c’est de cloner un repo GitHub pour un “test de compétences”… sauf que le repo en question est truffé de malware.

Actus Automatisées, Actus Tech, crowdstrike, malware, NPM, Sciences, securite-vie-privee, securite-vie-privee/cybersecurite

Un scanner pour lutter contre l’attaque Shai-Hulud

Romain, fidèle lecteur de korben.info a développé un scanner pour détecter l’attaque Shai-Hulud qui a secoué l’écosystème npm dernièrement ! L’occasion parfaite pour moi de vous raconter cette histoire complètement dingue.

Vous vous souvenez de CrowdStrike ? Cette entreprise de cybersécurité qui a provoqué la plus grande panne informatique mondiale en juillet 2024 avec une mise à jour défaillante ? Celle qui a cloué au sol des milliers d’avions et fait planter des millions de PC Windows ? Eh bien figurez-vous qu’en septembre 2025, ils se sont également fait avoir comme des bleus. En effet, leurs propres paquets npm ont été compromis.