Jusqu’à 22 000 packages PyPI pourraient être exposés au risque d’être détournés dans une technique d’attaque de la chaîne d’approvisionnement nouvellement développée, révèle une recherche. Les chercheurs en sécurité de JFrog, un spécialiste du devops, ont publié un article mettant en garde les développeurs sur une nouvelle technique d’attaque qui exploite la capacité de réenregistrer des packages populaires une fois que le propriétaire original les retire de l’index de PyPI. Surnommée « Revival Hijack », cette technique s’appuie sur un vecteur d’attaque populaire utilisé pour cibler les dépôts de logiciels open source, le « typosquatting », les pirates informatiques enregistrant des noms de packages presque identiques à ceux utilisés dans des milliers d’applications. Souvent en ne changeant qu’une lettre, les développeurs peuvent installer accidentellement le package malveillant s’ils ne prêtent pas une attention particulière à son nom. Reposant sur l’erreur humaine, l’efficacité de ce type d’attaque a quelque peu diminué alors que les développeurs sont devenus plus conscients de la technique et que les environnements de développement modernes ont commencé à introduire des mesures d’atténuation pour neutraliser la menace.
La dernière mise à jour de sécurité de Chrome sera plus proactive pour vous protéger.
Chrome reçoit une série de mises à jour de sécurité qui pourraient améliorer votre sécurité lors de la navigation en
