Jusqu’à 22 000 packages PyPI pourraient être exposés au risque d’être détournés dans une technique d’attaque de la chaîne d’approvisionnement nouvellement développée, révèle une recherche. Les chercheurs en sécurité de JFrog, un spécialiste du devops, ont publié un article mettant en garde les développeurs sur une nouvelle technique d’attaque qui exploite la capacité de réenregistrer des packages populaires une fois que le propriétaire original les retire de l’index de PyPI. Surnommée « Revival Hijack », cette technique s’appuie sur un vecteur d’attaque populaire utilisé pour cibler les dépôts de logiciels open source, le « typosquatting », les pirates informatiques enregistrant des noms de packages presque identiques à ceux utilisés dans des milliers d’applications. Souvent en ne changeant qu’une lettre, les développeurs peuvent installer accidentellement le package malveillant s’ils ne prêtent pas une attention particulière à son nom. Reposant sur l’erreur humaine, l’efficacité de ce type d’attaque a quelque peu diminué alors que les développeurs sont devenus plus conscients de la technique et que les environnements de développement modernes ont commencé à introduire des mesures d’atténuation pour neutraliser la menace.
« Outil de prédiction de protéines IA AlphaFold3 est maintenant plus ouvert »
‘Nous apprécions votre présence sur notre plateforme, nature.com. Nous avons remarqué que la version de votre navigateur pourrait poser des