🔒 Security & Privacy

Comment le ver autoreproducteur de TeamPCP a transformé l'open source en usine de portes dérobées

TeamPCP vient de démontrer quelque chose de terrifiant : un ver qui n'a pas besoin d'aide humaine pour se propager à travers les écosystèmes open source. Il a compromis les tokens npm, empoisonné des paquets et utilisé la blockchain pour rester intouchable.

Open Source Beat Apr 03, 2026 5 min read 19 views
Read in: Deutsch English Español Français Italiano 日本語 한국어 Português (BR)
Diagramme réseau montrant la propagation des malwares à travers le registre des paquets npm avec des nœuds blockchain pour la commande et contrôle

⚡ Key Takeaways

  • TeamPCP a déployé un ver autoreproducteur qui récolte automatiquement les tokens npm et empoisonne les paquets sans intervention manuelle—passant des attaques de la chaîne d'approvisionnement manuelles à complètement automatisées 𝕏
  • Le groupe utilise les contrats intelligents du Internet Computer Protocol pour la commande et contrôle, rendant leur infrastructure résistante aux tactiques de suppression traditionnelles utilisées contre les botnets centralisés 𝕏
  • Cela représente un changement fondamental dans la sophistication des attaques de la chaîne d'approvisionnement : passer de l'empoisonnement de projets uniques à l'automatisation à l'échelle de l'écosystème avec persistance basée sur la blockchain 𝕏
Published by

Open Source Beat

Community-driven. Code-first.

#TeamPCP malware #npm supply chain attack #open source security #self-propagating worm #smart contract botnet

Worth sharing?

Get the best Open Source stories of the week in your inbox — no noise, no spam.

Originally reported by Ars Technica - Tech

Related Stories

📬

Stay in the loop

The week's most important stories from Open Source Beat, delivered once a week.

No spam. Unsubscribe any time.