Très bonne enquête : C'est un véritable réseau d'arnaque organisées qui brasse des millions de d'euros, mais qui compte sur la saturation du système judiciaire pour ne pas être inquiété.
(Permalink)

Rappel : les GAFAMs gagnent des dizaines millions de dollars grâce aux arnaques.
(Permalink)

Voilà l'inconvénient de transformer une forge logicielle en réseau social (Merci Microsoft 😒) : Les "stars" de GitHub (assez similaires aux "likes" de Twitter) sont à l'origine de fraudes. En effet les investisseurs s'intéressent aux projets qui ont le plus de "stars". Or ces "stars" sont complètement fabriquées. Vous pouvez même les acheter. C'est un moyen d'attirer artificiellement l'argent des investisseurs.
Ça devient assez problématique pour que la commission SEC (le flic boursier américain) commence à mettre son nez dedans.
(Permalink)

La librairie Axios utilisée par de nombreuses entreprises a été compromise, infectant une grande quantité d'ordinateurs.
C'est un des développeurs d'Axios qui s'est fait avoir. Il s'est fait invité à la visio de ce qui ressemblait à une grande entreprise.

Par contre :
« During the call, a technical error was displayed, claiming that something on the system was out of date, prompting the maintainer to install a Teams update to fix the error. However, this fake update was actually RAT malware that gave threat actors remote access to the maintainer's device, allowing them to obtain the npm credentials for the Axios project.
Other maintainers reported similar social engineering attacks, where the threat actors tried to get them to install a fake Microsoft Teams SDK update. »

Excusez-moi, mais je facepalm très très fort:
- ça marche encore ces arnaques de fausse mise à jour, même - et surtout! - auprès d'un *dévelopeur* ???
- il ne contrôle pas les URLs de ce qu'il télécharge ?  Si c'est Teams, ça se télécharge depuis le site Microsof et rien d'autre.

Voir aussi : https://socket.dev/blog/attackers-hunting-high-impact-nodejs-maintainers
(Permalink)