npm et GitHub : riposte renforcée face aux attaques sur l’open source

brève actu

GitHub sécurise npm après des attaques ciblées : authentification renforcée, tokens limités et pratiques de publication de confiance pour protéger la chaîne logicielle.

Dans un contexte où le logiciel open source est essentiel à l’industrie moderne, la sécurité de ces outils est cruciale. Récemment, le registre npm a été la cible d’attaques visant à compromettre des comptes de mainteneurs pour diffuser des logiciels malveillants.

Ces incidents soulignent l’importance de renforcer les pratiques de sécurité et d’authentification. Les actions de GitHub, telles que la suppression des paquets compromis, illustrent la nécessité d’une vigilance constante pour protéger la chaîne d’approvisionnement logicielle.

Renforcement des pratiques de sécurité dans l’écosystème npm

Les récentes attaques sur le registre npm ont mis en évidence des vulnérabilités critiques dans l’écosystème open source. En septembre 2025, un ver auto-répliquant a infiltré npm via des comptes de mainteneurs compromis, injectant des scripts malveillants dans des paquets populaires. Ce type d’attaque, connu sous le nom de Shai-Hulud, a été stoppé grâce à l’intervention rapide de GitHub et des mainteneurs. Selon The GitHub Blog, plus de 500 paquets compromis ont été retirés, empêchant ainsi la propagation du logiciel malveillant. Ces incidents mettent en lumière la nécessité de renforcer les mesures de sécurité, notamment par l’adoption de l’authentification à deux facteurs (2FA) et l’amélioration des pratiques de publication sécurisée.

Pour répondre à ces menaces, GitHub a annoncé des changements significatifs dans les options d’authentification et de publication. L’accent est mis sur la dépréciation des anciens tokens et l’adoption de la 2FA basée sur FIDO. Cela inclut l’introduction de tokens granulaires à durée limitée et la suppression de l’option de contournement de la 2FA pour la publication locale de paquets. De plus, l’initiative de publication de confiance, recommandée par le groupe de travail OpenSSF, vise à retirer les tokens API des pipelines de construction, renforçant ainsi la sécurité. Cette approche, déjà adoptée par PyPI et d’autres dépôts, encourage une adoption rapide pour protéger l’ensemble de l’écosystème.

Les mainteneurs de npm sont invités à adopter immédiatement des pratiques de publication de confiance et à renforcer les paramètres de sécurité des comptes. Ces efforts collectifs soulignent l’engagement de la communauté à sécuriser la chaîne d’approvisionnement logicielle. En adoptant des pratiques robustes et en collaborant étroitement, les acteurs du secteur souhaitent construire un écosystème open source plus sûr et digne de confiance. Comme le démontre ces attaques sur la chaîne d’approvisionnement, la sécurité est une responsabilité partagée.