Supply Chain Attacks ArticlesArticles Attaques Supply Chain

Typosquatting, package hijacking, compromised maintainers: every major supply chain incident and how to defend.

Typosquatting, détournement de packages, mainteneurs compromis : chaque incident majeur et comment se défendre.

Results for Résultats pour

Go / Golang Go / Golang

Go Modules Supply Chain Security in 2026: 61 PolinRider Modules, the BoltDB Proxy Cache Trap & Hardening Guide

Sécurité Supply Chain des Modules Go en 2026 : 61 Modules PolinRider, le Piège du Cache Module Proxy & Guide de Durcissement

61 of PolinRider’s 108 malicious packages were Go modules — the campaign’s #1 ecosystem. Why Go’s decentralized model attracts attackers, how the Module Proxy cached the boltdb-go backdoor for 3+ years via git tag rewriting, and a complete hardening guide: go.sum integrity, govulncheck reachability, GOPRIVATE scoping & CI/CD gates.

61 des 108 packages malveillants de PolinRider étaient des modules Go — le 1er écosystème de la campagne. Pourquoi le modèle décentralisé de Go attire les attaquants, comment le Module Proxy a caché la backdoor boltdb-go pendant 3+ ans via réécriture de tags git, et un guide de durcissement complet : intégrité go.sum, atteignabilité govulncheck, GOPRIVATE & gates CI/CD.

npm npm

PolinRider Supply Chain Attack in 2026: 108 Malicious Packages Across npm, Packagist, Go & Chrome

Attaque Supply Chain PolinRider en 2026 : 108 Packages Malveillants sur npm, Packagist, Go & Chrome

North Korea’s Contagious Interview cluster published 162 malicious release artifacts — 61 Go modules, 19 npm libraries, 10 Composer packages and a Chrome extension. Blockchain RPC as C2 (TRON, Aptos, BNB), code injected into tailwind/postcss/eslint configs, and VS Code folderOpen tasks that fire when you open the repo. Full attack chain analysis & defense checklist.

Le cluster nord-coréen Contagious Interview a publié 162 artefacts malveillants — 61 modules Go, 19 bibliothèques npm, 10 packages Composer et une extension Chrome. RPC blockchain comme C2 (TRON, Aptos, BNB), code injecté dans les configs tailwind/postcss/eslint, et tâches VS Code folderOpen déclenchées à l’ouverture du repo. Analyse complète de la chaîne d’attaque & checklist de défense.

npm npm

Lazarus npm Attack in 2026: Fake Rollup Polyfill Packages Hide a Full RAT & Bypass npm v12

Attaque npm Lazarus en 2026 : de Faux Packages Rollup Polyfill Cachent un RAT Complet & Contournent npm v12

Six malicious npm packages impersonated rollup-plugin-polyfill-node (295K dl/week) with cloned READMEs and working polyfill code — then fired at import time, sidestepping npm v12’s install script blocking. Remote payloads invisible to registry scanners, clean ESM entry points, full RAT with clipboard monitoring. JFrog attributes the July 2026 campaign to Lazarus. Complete analysis & defense checklist.

Six packages npm malveillants imitaient rollup-plugin-polyfill-node (295K téléchargements/semaine) avec READMEs clonés et code polyfill fonctionnel — puis se déclenchaient à l’import, contournant le blocage des scripts d’installation de npm v12. Payloads distants invisibles aux scanners, points d’entrée ESM propres, RAT complet avec surveillance du presse-papiers. JFrog attribue la campagne de juillet 2026 à Lazarus. Analyse complète & checklist de défense.

npm npm

State of npm Supply Chain Security — H1 2026 Retrospective: Axios, TanStack, Miasma & What Changes Now

État de la Supply Chain npm — Rétrospective H1 2026 : Axios, TanStack, Miasma & Ce Qui Change Maintenant

H1 2026 was the worst half-year for npm supply chain attacks on record: 37 campaigns, 497 malicious packages, 4.5× the volume of all of 2025. Axios (100M dl/week) compromised via social engineering, TanStack (84 packages in 6 min, forged SLSA provenance), node-ipc (expired domain account takeover), Miasma Waves 1–3 (Red Hat, @vapi-ai, Microsoft Azure). Full incident analysis, attack pattern matrix & H2 2026 defense checklist.

Le H1 2026 a été le pire semestre jamais enregistré pour les attaques supply chain npm : 37 campagnes, 497 packages malveillants, 4,5× le volume de toute l’année 2025. Axios (100M téléchargements/semaine) compromis par ingénierie sociale, TanStack (84 packages en 6 min, provenance SLSA forgée), node-ipc (prise de contrôle via domaine expiré), Miasma Vagues 1–3 (Red Hat, @vapi-ai, Microsoft Azure). Analyse complète des incidents, matrice des vecteurs d’attaque & checklist de défense H2 2026.

npm npm

pnpm Security & Hardening in 2026: 8 CVEs, Credential Leakage via .npmrc & the pnpm 11 Supply Chain Defaults

Sécurité & Durcissement de pnpm en 2026 : 8 CVE, Fuite d’Identifiants via .npmrc & les Défauts Supply Chain de pnpm 11

pnpm fixed 8 CVEs in the first half of 2026 — including CVE-2026-50017 (critical credential leakage sending your npm token to attacker registries) and CVE-2026-55180 (env secret exfiltration via repository .npmrc, CVSS 7.4). Full hardening guide: pnpm 11 defaults (minimumReleaseAge, strictDepBuilds, blockExoticSubdeps), lockfile integrity verification, token hygiene and CI/CD checklist.

pnpm a corrigé 8 CVE au premier semestre 2026 — dont CVE-2026-50017 (fuite critique d’identifiants envoyant votre token npm vers des registres attaquants) et CVE-2026-55180 (exfiltration de secrets env via le .npmrc du dépôt, CVSS 7.4). Guide de durcissement complet : défauts pnpm 11 (minimumReleaseAge, strictDepBuilds, blockExoticSubdeps), vérification d’intégrité du lockfile, hygiène des tokens et checklist CI/CD.

npm npm

Bun Runtime Security in 2026: CVE-2026-24910 Trusted Deps Spoofing, Bun-Based Stealers & Cross-Runtime Guide

Sécurité du Runtime Bun en 2026 : CVE-2026-24910 Usurpation de Dépendances de Confiance, Stealers Basés sur Bun & Guide Cross-Runtime

CVE-2026-24910 lets attackers spoof Bun’s trusted dependencies list via file/git protocols to execute lifecycle scripts silently (fixed in Bun 1.3.5). Attackers also weaponize Bun as a stealer runtime in SAP Mini Shai-Hulud (4 packages, April 2026) and PyTorch Lightning PyPI (311K downloads/day). Full guide: trusted deps hardening, bun.lock integrity, Security Scanner API, Bun Shell safe patterns, and Bun vs Node.js 24 vs Deno security comparison.

CVE-2026-24910 permet aux attaquants d’usurper la liste des dépendances de confiance de Bun via les protocoles file/git pour exécuter silencieusement des scripts de cycle de vie (corrigé dans Bun 1.3.5). Les attaquants utilisent aussi Bun comme runtime de stealer dans SAP Mini Shai-Hulud (4 packages, avril 2026) et PyTorch Lightning PyPI (311K téléchargements/jour). Guide complet : durcissement des dépendances de confiance, intégrité bun.lock, Security Scanner API, patterns sûrs Bun Shell et comparaison sécurité Bun vs Node.js 24 vs Deno.

npm npm

npm v12 Full Migration Guide in 2026: Allowlist Setup, prebuildify & Team Rollout Checklist

Guide Complet de Migration npm v12 en 2026 : Allowlist, prebuildify & Checklist Équipe

npm v12 (July 2026) blocks install scripts, Git dependencies & remote URLs by default. Step-by-step migration guide: build your allowScripts allowlist with npm approve-scripts, migrate native modules from deprecated prebuild-install to prebuildify, update CI/CD pipelines, and roll out the change across your team before the July deadline.

npm v12 (juillet 2026) bloque les scripts d’installation, les dépendances Git et les URL distantes par défaut. Guide de migration étape par étape : construire votre allowlist allowScripts avec npm approve-scripts, migrer les modules natifs de prebuild-install (déprécié) vers prebuildify, mettre à jour les pipelines CI/CD et déployer le changement dans toute l’équipe avant la deadline de juillet.

npm npm

npm Install Scripts Security in 2026: Phantom Gyp Bypass, npm v12 July Deadline & Migration Guide

Sécurité des Scripts d’Installation npm en 2026 : Bypass Phantom Gyp, Déadline npm v12 & Guide de Migration

npm v12 (July 2026) disables preinstall/postinstall by default — including the implicit node-gyp rebuild triggered by binding.gyp. The Phantom Gyp technique already bypassed --ignore-scripts to compromise 57 packages in June 2026. How to audit your dependency tree with npm 11.16.0, migrate native modules to prebuildify, build your allowlist, and detect install scripts in lockfiles.

npm v12 (juillet 2026) désactive preinstall/postinstall par défaut — y compris le rebuild node-gyp implicite déclenché par binding.gyp. La technique Phantom Gyp a déjà court-circuité --ignore-scripts pour compromettre 57 packages en juin 2026. Comment auditer votre arbre de dépendances avec npm 11.16.0, migrer les modules natifs vers prebuildify, construire votre liste d’autorisation et détecter les scripts dans les lockfiles.

npm npm

npm Maintainer Account Security & 2FA Enforcement in 2026: Mastra Post-Mortem, Staged Publishing & Offboarding Guide

Sécurité des Comptes Mainteneurs npm & Application de la 2FA en 2026 : Post-Mortem Mastra, Publication par Étapes & Guide de Désinscription

A forgotten npm contributor account (ehindero, inactive 16 months) compromised all 143 @mastra packages — including @mastra/core (4M downloads/month) — on June 17, 2026. Complete 2026 guide: quarterly maintainer audit playbook, npm org 2FA enforcement (auth-and-writes), staged publishing approval gate (GA May 22), TOTP → FIDO/passkey migration, 90-day token cap & audit log monitoring for burst publish detection.

Un compte contributeur npm oublié (ehindero, inactif 16 mois) a compromis les 143 packages @mastra — dont @mastra/core (4M téléchargements/mois) — le 17 juin 2026. Guide complet 2026 : playbook d’audit trimestriel des mainteneurs, application 2FA org npm (auth-and-writes), portail d’approbation publication par étapes (GA 22 mai), migration TOTP → FIDO/passkey, plafond 90 jours & surveillance des journaux d’audit pour détection de rafales de publication.

npm npm

npm Scoped Packages & Private Registry Security in 2026: The @mastra Scope Takeover, Verdaccio Hardening & Token Rotation Guide

Sécurité des Packages Scopés npm et Registry Privé en 2026 : Prise de Contrôle du Scope @mastra, Durcissement Verdaccio & Rotation des Tokens

The @mastra npm scope was hijacked June 17, 2026 via a single stale contributor account — 143 packages compromised including @mastra/core (4M downloads/month). How npm scope takeovers work in 2026 (@antv, @redhat-cloud-services, @mastra), Verdaccio hardening guide with proxy: [], GitHub Packages vs Artifactory comparison, 90-day token cap enforcement & OIDC Trusted Publishing setup.

Le scope npm @mastra a été détourné le 17 juin 2026 via un seul compte contributeur obsolète — 143 packages compromis dont @mastra/core (4M téléchargements/mois). Comment fonctionnent les prises de contrôle de scope npm en 2026 (@antv, @redhat-cloud-services, @mastra), guide de durcissement Verdaccio avec proxy: [], comparaison GitHub Packages vs Artifactory, plafond 90 jours sur les tokens & configuration Publication de Confiance OIDC.

npm npm

npm Dependency Confusion Attacks in 2026: Microsoft’s 33-Package Campaign, Version Inflation & Complete Prevention Guide

Attaques Dependency Confusion npm en 2026 : Campagne 33 Packages Microsoft, Version Inflation & Guide de Prévention Complet

49% of organizations are vulnerable to dependency confusion. Microsoft caught 33 malicious npm packages profiling Windows developer environments in May 2026 — targeting Sberbank’s SberPay widget. How version inflation beats your private registry, and a complete prevention checklist: scoped packages, .npmrc scope pinning, Verdaccio no-proxy config & Dependabot private registry setup.

49% des organisations sont vulnérables à la dependency confusion. Microsoft a détecté 33 packages npm malveillants profilant des environnements Windows en mai 2026 — ciblant le widget SberPay de Sberbank. Comment l’inflation de version bat votre registry privé, et une checklist de prévention complète : packages scopés, épinglage .npmrc, config Verdaccio no-proxy & Dependabot registry privé.

npm npm

npm Lockfile Security in 2026: package-lock.json v3 Integrity, Lockfile Diff Reviews & CI/CD Defense Guide

Sécurité du Lockfile npm en 2026 : Intégrité package-lock.json v3, Revues de Diff & Guide Défense CI/CD

Attackers slip malicious code past SCA scanners by targeting the lockfile itself — not package.json. How the resolved + integrity SHA-512 fields work in v3, what lockfile injection looks like in a PR diff (TanStack/Miasma post-mortems), and a complete CI/CD defense guide: npm ci, npm audit signatures, resolved URL allowlists, lockcheck baseline diffing & CODEOWNERS enforcement.

Les attaquants glissent du code malveillant devant les scanners SCA en ciblant le lockfile lui-même — pas package.json. Comment fonctionnent les champs resolved + integrity SHA-512 en v3, à quoi ressemble l’injection de lockfile dans un diff de PR (post-mortems TanStack/Miasma), et un guide CI/CD complet : npm ci, npm audit signatures, listes d’autorisation URL resolved, diffing baseline lockcheck & enforcement CODEOWNERS.

Monitor your dependencies automatically

Surveillez vos dépendances automatiquement

Upload your lockfiles and get instant CVE alerts. No code access required.

Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.

Start your 14-day free trial Demarrer l'essai gratuit 14 jours