Encore une supply-chain attack...
Pour réduire les risques :
1. Activez l'AgeGate de votre package manager
2. Passez par Renovate/Dependabot pour les updates
3. Scannez vos PRs automatiquement (@SocketSecurity)
Ne faites jamais confiance aveuglément à une dépendance fraîchement publiée.
Romain Lanz
🚨 UPDATE: Mini Shai-Hulud has crossed from
@npmjs.bsky.social into @pypi.org and is still spreading.
Newly confirmed compromised artifacts:
@opensearch-project/opensearch: 3.5.3, 3.6.2, 3.7.0, 3.8.0 (1.3M weekly downloads)
mistralai: 2.4.6 on PyPI
guardrails-ai: 0.10.1 on PyPI
