Le dépôt Python package index attaqué

coder job
coder job

Depuis samedi 20 mai, la création de comptes et l’ajout de nouveaux projets ont été suspendus par les responsables du Python Package Index (PyPI), le dépôt tiers officiel du langage de programmation Python, a remarqué The Hacker News.

Un message accessible via la page d’accueil du dépôt explique que « Le nombre d’utilisateurs et de projets malveillants créés sur l’index au cours de la semaine dernière a dépassé notre capacité à y répondre en temps opportun, en particulier alors que plusieurs administrateurs PyPI sont en congés ».

PyPI ne donne pas plus de détails sur ces attaques mais Hacker News interprète cette décision comme la preuve que le dépôt est devenu une cible populaire chez les pirates pour « empoisonner » la chaine de production des logiciels.

Le média a aussi signalé la semaine dernière que la startup israélienne Phylum avait découvert une campagne de logiciels malveillants. Celle-ci utilise notamment un paquet permettant une interaction avec chatGPT qui récupère aussi les jetons Discord, pour ensuite voler le contenu du presse-papiers afin de détourner les transactions de crypto-monnaie.