Le transfert de propriété d'un package populaire sur npm, PyPI ou autre registre peut représenter un risque majeur de sécurité.
De nombreux cas récents ont montré que des comptes de mainteneurs historiques pouvaient être récupérés par des acteurs malveillants.
Exemples concrets de compromission
En 2018, le package event-stream a été compromis après le transfert de propriété, touchant des millions de projets Node.js.
La confiance aveugle en un package tiers est l'une des plus grandes vulnérabilités modernes.
Comment se protéger ?
- Vérifiez toujours l'historique des mainteneurs sur GitHub
- Utilisez
npm auditetyarn auditsystématiquement - Activez GitHub Dependabot pour les alertes automatiques
- Préférez les packages avec une activité récente
La vigilance reste la meilleure arme contre les attaques par la chaîne d’approvisionnement.
