Le dépôt OpenSSF de paquets malveillants lance un bid pour contrer les menaces de sécurité.

La Fondation Open Source Security (OpenSSF) a annoncé le lancement d’un nouveau ‘Malicious Packages Repository’ destiné à fournir des informations et des alertes sur la propagation de logiciels malveillants. Le référentiel est la première plateforme open source spécifiquement conçue pour collecter et publier des rapports d’écosystèmes de paquets malveillants utilisés dans la nature. A long terme, OpenSSF estime que le référentiel pourrait favoriser une meilleure alignement trans-écosystème sur les menaces émergentes et jouer un rôle crucial dans la lutte contre les logiciels malveillants. Un ‘paquet malveillant’ est un type de logiciel malveillant livré sous forme de paquet open source et généralement publié dans des dépôts de paquets tels que PyPI ou NPM. Les acteurs de la menace les utilisent souvent pour attaquer les organisations utilisant des logiciels open source. « Ces paquets peuvent être utilisés pour des attaques telles que l’obtention d’un accès non autorisé, la fuite d’informations privées, la consommation de ressources informatiques, voire la destruction ou la détérioration de données », selon la fondation. « Ces flux d’attaque ne sont pas prévenus par la plupart des logiciels antivirus de bout en bout. »

Share the Post: