I am harvesting card numbers and passwords from your site. Here is how.

Ce petit tuto assez simple se résume en quelques idées :

• faire un package (utile en soi), qui contient un mouchard qui récupère et fait suivre les informations sensibles.
• lancer une pull requests sur une centaine de gros projets, pour avoir ledit package en dépendance.
• statistiquement il y en a bien un ou deux qui vont l'accepter, ne serais-ce que sur un malentendu.
• avoir le plaisir de voir son mouchard exécuté par les milliers de machines qui tournent avec ces gros projets.

C'est simple et efficace.

L'article donne ensuite part belle à des méthodes de protections contre ce genre d'attaque.