@withgoogle/stitch-sdk : scope squat npm pour vol de credentials développeurs

🎯 Contexte Analyse publiée le 20 juin 2026 par SafeDep sur la découverte d’un package npm malveillant @withgoogle/stitch-sdk (versions v0.1.1 et v0.1.2), conçu pour imiter le SDK officiel de Google Stitch AI (@google/stitch-sdk, 30 000+ téléchargements hebdomadaires). 🔍 Technique d’attaque : Scope Squatting L’attaquant a exploité le fait que npm ne vérifie pas les marques déposées lors de l’enregistrement de scopes. Le produit Google est accessible via stitch.withgoogle.com, mais son scope npm officiel est @google. L’attaquant a enregistré le scope @withgoogle (premier arrivé, premier servi) et publié un package avec le même nom de base que le SDK légitime, avec des numéros de version identiques (0.1.1, 0.1.2).