Microsoft a découvert une deuxième campagne d'attaque en trois semaines : des packages npm et NuGet compromis distribuent un vol de credentials. Les attaquants ciblent spécifiquement les développeurs en injectant du code malveillant dans des dépôts populaires, exploitant la confiance accordée aux registres officiels.
Cette vague suit une première intrusion détectée en octobre. Les packages affectés restaient visibles sur les plateformes avant suppression, menaçant tous les développeurs ayant tiré la dépendance pendant la fenêtre d'exposition. Microsoft a notifié les équipes de sécurité, mais aucun mécanisme d'alerte automatique n'a bloqué les téléchargements.
Le mode opératoire rappelle les attaques supply-chain classiques : compromettre des registres centralisés pour maximiser la portée. Les développeurs n'avaient aucun signal visible indiquant une anomalie — les packages semblaient légitimes.
La parade : vérifier l'historique des dépendances récentes, scanner les lockfiles avec des outils comme SBOM, et monitorer les changements de droits sur les comptes npm/NuGet personnels. Le registre officiel n'est jamais une garantie.
