Le point commun du jour : les attaquants se rapprochent des outils déjà approuvés par les ingénieurs. Paquets npm, plugins d’IDE, contenus communautaires et secrets locaux forment une même surface d’attaque.

Illustration cybersécurité avec paquets open source et poste développeur

Mastra montre la vitesse d’un incident npm

Endor Labs, JFrog, Socket, StepSecurity et The Hacker News ont décrit une attaque touchant jusqu’à 144 paquets @mastra. easy-day-js a combiné dépendances malveillantes et publication massive après compromission d’un compte. Orca Security cite environ 918 000 téléchargements hebdomadaires pour @mastra/core. Les installations postérieures au 16 juin doivent être vérifiées.

Des plugins d’IDE visaient les clés API d’IA

JetBrains a supprimé 15 plugins Marketplace tiers conçus pour voler des clés de fournisseurs IA et désactivé les copies installées. Les outils d’IA dans l’IDE sont proches du code, des prompts et des identifiants payants : les plugins relèvent désormais de la gestion des secrets.

Wallpaper Engine rappelle le risque du contenu actif

Kaspersky et BleepingComputer ont signalé du malware diffusé via Steam Workshop et Wallpaper Engine. Tout écosystème de contenu exécutable partagé peut devenir un canal d’attaque, y compris sur des machines personnelles utilisées pour coder.

Les secrets se cherchent aussi sur les postes développeurs

Help Net Security a présenté GitGuardian Developer Endpoint Protection. Au-delà du produit, le signal est net : les secrets vivent aussi dans scripts temporaires, notebooks locaux et workflows assistés par IA.

Actions immédiates

Contrôler lockfiles et CI, faire tourner les jetons exposés, auditer plugins IDE et extensions navigateur, réduire les permissions et scanner les postes développeurs. Sources : Endor Labs, JFrog, Socket, StepSecurity, The Hacker News, Orca Security, JetBrains, Kaspersky, BleepingComputer et Help Net Security.