Jusqu’à 22 000 packages PyPI pourraient être exposés au risque d’être détournés dans une technique d’attaque de la chaîne d’approvisionnement nouvellement développée, révèle une recherche. Les chercheurs en sécurité de JFrog, un spécialiste du devops, ont publié un article mettant en garde les développeurs sur une nouvelle technique d’attaque qui exploite la capacité de réenregistrer des packages populaires une fois que le propriétaire original les retire de l’index de PyPI. Surnommée « Revival Hijack », cette technique s’appuie sur un vecteur d’attaque populaire utilisé pour cibler les dépôts de logiciels open source, le « typosquatting », les pirates informatiques enregistrant des noms de packages presque identiques à ceux utilisés dans des milliers d’applications. Souvent en ne changeant qu’une lettre, les développeurs peuvent installer accidentellement le package malveillant s’ils ne prêtent pas une attention particulière à son nom. Reposant sur l’erreur humaine, l’efficacité de ce type d’attaque a quelque peu diminué alors que les développeurs sont devenus plus conscients de la technique et que les environnements de développement modernes ont commencé à introduire des mesures d’atténuation pour neutraliser la menace.
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du