L'info date de début août mais je ne l'avais pas vu passer.
Node.js cela permet de développer facilement des trucs en Javascript. C'est de l'opensource mais comme toute chose peut être détournée pour en faire un truc *pas cool*.
Des petits malins ont donc détourné des librairies "connues" / utilisées, pour les utiliser par exemple pour envoyer les variables d’environnement de votre système vers ... quelque part. Comment ? Avec des typos dans le nom, en mixant des lettres, oubliant un "-", ... bref tu crois que tu l'utilises mais tu l'utilises pas.
Note:
- vous n'utilisez pas Node.js et son package manager "npm"
- ou "yarn" ou tout autre,
le reste est informatif.
Sur le lien, des commandes à lancer sur Linux, Mac ou Windows (perso sous Windows j'ai utilisé celui Linux dans mon babun sur W1SP1 et Bash-Ubuntu sous W10. Attention la version PowerShell sous W7 nécessite une version récente et pas celle installée de base).
Par exemple, si dans vos variables d’environnement (pour ceux qui ne savent pas de quoi je parle là, en pratique il y a 99.9% de chance qu'il n'y ait aucun problème), vous avez un login/password (bouhouhou, c'est pas bien) et que vous avez un de ces packages npm, ben il y a des risques qu'il ait été envoyé sur le Net.
Pour les projets opensource ou les "pro", il y a des sites genre snyk.io/plans qui proposent des tests (version Free, "100 tests/month on private projects").
Source: Zucher
