Odaily Planet Daily rapporte, selon la surveillance de SlowMist, que MistEye a détecté une attaque de chaîne d'approvisionnement inter-registry ciblant les développeurs, dans laquelle les attaquants ont déployé des paquets malveillants via npm, PyPI et Crates.io. Cette campagne d'attaque implique plus de 34 paquets malveillants et plus de 384 versions associées, ciblant les communautés de développeurs en cryptomonnaie, DeFi, Solana, Sui/Move et IA.
Les comportements potentiels des attaquants incluent le vol de portefeuilles cryptographiques, de clés SSH, de crédentials cloud, de jetons GitHub/AWS, de données de navigateur, de variables d'environnement et de clés de développeur. Certains charges utiles tentent également d'assurer une persistance via cursorrules, CLAUDE.md, des hooks Git, des hooks Shell, cron, systemd et SSH.
SlowMist recommande de supprimer immédiatement les paquets affectés, d'isoler les systèmes concernés, de conserver les journaux, de renouveler les identifiants exposés, de reconstruire les exécuteurs CI et les machines des développeurs à partir d'images propres, et d'examiner les activités sur GitHub, le cloud, SSH et les portefeuilles.