Recherche : [supply-chain] - Les liens de Raphaël

25861 shaares

Filtres

Liens par page

20 50 100

2 résultats taggé supply-chain

Less is safer: how Obsidian reduces the risk of supply chain attacks - Obsidian

Obsidian explique comment ils minimisent les risques d’attaques par la chaîne d’approvisionnement (supply chain attacks) en limitant au maximum ses dépendances externes. L’application privilégie le développement en interne (comme pour les fonctionnalités Bases et Canvas), évite les bibliothèques tierces quand c’est possible, et utilise des versions figées et vérifiées pour les dépendances inévitables (comme Electron ou CodeMirror). Les mises à jour sont rares, méticuleusement testées et espacées dans le temps, avec une revue approfondie des changements et des sous-dépendances. Cette approche réduit la surface d’attaque et permet de détecter rapidement d’éventuels problèmes avant qu’ils n’affectent les utilisateurs. Une stratégie qui combine minimalisme, contrôle strict et prudence pour garantir un environnement sécurisé et privé.

supply-chain · sécurité · bonnes-pratiques · JavaScript

September 27, 2025 at 8:03:50 AM GMT+2 * · permalien

·

https://obsidian.md/blog/less-is-safer/

·

Analyse attaque Nx : Malware IA et protection 2025

Le 26 août 2025, le système de build Nx (4M+ téléchargements hebdomadaires sur npm) a été compromis par un malware JavaScript intégré dans les versions 20.11.0 et 21.7.0. Ce script malveillant a exploité des outils d’IA populaires (Claude, Gemini, Amazon Q) pour voler des données sensibles (tokens GitHub, clés privées, portefeuilles crypto), marquant la première attaque documentée utilisant l’IA comme vecteur de vol. Le malware, activé via un script postinstall, contournait les sécurités des LLM pour scanner les systèmes et exfiltrer 2 349 secrets vers des dépôts GitHub publics en seulement 5 heures. Malgré des erreurs techniques (syntaxe incorrecte, garde-fous IA partiellement efficaces), l’incident révèle une nouvelle génération de menaces : des attaques ciblant la confiance accordée aux assistants IA et aux paquets open source. L’analyse technique met en lumière les failles de l’intégration rapide de l’IA dans les workflows dev, et souligne l’urgence de renforcer la vérification des dépendances, la surveillance des outils IA et la détection proactive des comportements suspects. Une alerte pour l’écosystème tech, où l’automatisation intelligente devient à la fois une promesse et une vulnérabilité majeure.

intelligence-artificielle · sécurité · malware · supply-chain

August 30, 2025 at 9:53:31 PM GMT+2 * · permalien

·

https://loud-technology.com/insight/analyse-technique-attaque-nx-malware-ia-strategies/

·