Plusieurs vulnérabilités de sécurité ont été révélées dans des gestionnaires de paquets populaires qui pourraient être utilisées pour exécuter du code arbitraire et accéder à des informations confidentielles, notamment le code source et les jetons d'accès, à partir de machines contaminées.

Les gestionnaires de paquets désignent des systèmes ou un ensemble d'outils utilisés pour automatiser l'installation, la mise à niveau et la configuration des dépendances tierces nécessaires au développement d'applications.

Une attaque exploitant ces failles ne peut pas être lancée directement mais nécessite que les développeurs ciblés manipulent un paquet malveillant en conjonction avec l'un des gestionnaires de paquets concernés qui sont :

• Composer 1.x : Versions inférieures à 1.10.23 et 2.x versions inférieures à 2.1.9 ;
• Bundler : Versions inférieures à 2.2.33 ;
• Bower : Versions inférieures à 1.8.13 ;
• Poetry : Versions inférieures à 1.1.9 ;
• Yarn : Versions inférieures à 1.22.13 ;
• pnpm : Versions inférieures à 6.15.1 ;
• Pip : Toutes les versions (pas de correctif) ;
• Pipenv : Toutes les versions (pas de correctif).

Il est recommandé aux développeurs de mettre à jour leurs gestionnaires de paquets afin d’éviter tout risque possible.