Devis de remise multi-licences
Sécurité informatique CrowdStrike, Shai-Hulud et l'expiration imminente de la...

CrowdStrike, Shai-Hulud et l'expiration imminente de la loi CISA 2015 : pourquoi les États-Unis ne peuvent pas rester inactifs face aux attaques visant la chaîne d'approvisionnement de logiciels

Par Sandos en Sécurité informatique
Se traduisent par :

Les chaînes fragiles rencontrent les lois fragiles

En 2025, l'actualité de la sécurité a été dominée par les gangs de rançongiciels, les cybermenaces liées à l'IA et les campagnes de piratage géopolitique. Mais une tendance plus discrète et plus insidieuse se manifeste dans les chaînes d'approvisionnement du monde open source, notamment dans l'écosystème JavaScript de npm.

La dernière vague d'attaques, regroupée sous le nom « Shai-Hulud » , a compromis des dizaines de paquets npm, dont ceux publiés sous l' espace de noms CrowdStrike . Ce seul fait devrait alerter : lorsque des adversaires parviennent à empoisonner des paquets associés à l'un des fournisseurs de cybersécurité les plus reconnus au monde, la confiance dans l'écosystème logiciel est en jeu.

Et tout cela se déroule dans un contexte politique crucial : l’expiration prochaine de la loi de 2015 sur le partage d’informations en matière de cybersécurité (CISA 2015) fin septembre. Cette loi sous-tend en grande partie le partage volontaire, sous réserve de garantie de responsabilité, d’indicateurs de compromission (IOC) entre le secteur privé et les agences fédérales. En cas d’expiration, les États-Unis devront faire face à des attaques de type Shai-Hulud avec les mains liées.

La campagne Shai-Hulud : Anatomie d'une attaque de la chaîne d'approvisionnement

1. Compromis initial

Les attaquants ont infiltré des comptes npm liés à des paquets légitimes (certains appartenant à des mainteneurs individuels, d'autres appartenant à des espaces de noms organisationnels). En modifiant le package.json et en y intégrant un fichier malveillant nommé bundle.js , ils ont infecté des projets pourtant dignes de confiance.

2. Charge utile : l'implant Bundle.js

L'implant n'est pas un logiciel malveillant subtil de type « script kiddie ». Il exécute une série de tâches précises et automatisées :

  • Récolte de jetons : recherche dans l'environnement hôte des secrets tels que NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY .
  • Déploiement de l'outil : Téléchargement et exécution de TruffleHog , un utilitaire open source habituellement utilisé pour analyser les dépôts à la recherche de secrets divulgués. Il est ici réutilisé de manière offensive pour analyser les systèmes locaux.
  • Vérification : valide les jetons récoltés en effectuant des requêtes API légères pour confirmer quelles informations d'identification sont actives.
  • Persistance via CI/CD : crée ou modifie les répertoires .github/workflows pour insérer des workflows GitHub Actions malveillants , souvent nommés shai-hulud.yaml ou shai-hulud-workflow.yml . Ces workflows peuvent ré-exfiltrer des secrets lors des futures exécutions de CI/CD.
  • Exfiltration : envoie les informations d'identification et les résultats volés à des points de terminaison webhook codés en dur, souvent contrôlés via une infrastructure jetable.

    • 3. Propagation

    Les packages npm étant profondément interconnectés, une seule compromission peut avoir des conséquences en cascade. Les versions malveillantes ont été téléchargées dans les registres npm et distribuées automatiquement aux développeurs qui ont mis à jour ou installé des dépendances. Cela signifie que des milliers de projets en aval ont pu récupérer par inadvertance du code contaminé.

    L' incident tinycolor survenu début septembre illustre bien ce risque. Cette bibliothèque ( @ctrl/tinycolor ) est téléchargée des millions de fois par semaine. Lorsqu'elle a été compromise par la charge utile Shai-Hulud, plus de 40 paquets en aval ont été empoisonnés.

    4. Violation de l'espace de noms CrowdStrike

    La découverte la plus alarmante a été que des paquets publiés sous l' espace de noms npm @crowdstrike ont également été compromis. Socket.dev a identifié des dizaines de versions empoisonnées, certaines publiées en rafale entre le 14 et le 16 septembre 2025 .

    Bien qu'il n'y ait aucune preuve que l'infrastructure interne de CrowdStrike ait été piratée, les implications réputationnelles et systémiques sont graves :

    • Les développeurs s'attendent à ce que les espaces de noms des fournisseurs comme @crowdstrike soient à toute épreuve.
    • Un espace de noms empoisonné mine la confiance non seulement dans le fournisseur mais aussi dans npm lui-même.
    • Les adversaires ont clairement compris la puissance symbolique et pratique d’un tel compromis.

    Indicateurs techniques et observables

    Pour étayer cette hypothèse, les marqueurs techniques suivants ont émergé de l’analyse des packages Shai-Hulud :

    • Fichiers malveillants : bundle.js , index.js (modifié pour appeler bundle), fichiers de workflow insérés dans .github/workflows/ .
    • Charges utiles du flux de travail : contiennent généralement des étapes pour boucler les secrets et POST sur les webhooks des attaquants.
    • Réutilisation du hachage : hachages SHA-256 identiques des fichiers bundle.js sur plusieurs packages, confirmant la coordination de la campagne.
    • Points de terminaison d'exfiltration : Webhooks hébergés sur des plateformes de produits de base (par exemple, Discord, webhooks entrants Slack ou services cloud temporaires).
    • Modèles de publication : des rafales de dizaines de versions de packages publiées en quelques minutes, cohérentes avec des outils automatisés plutôt qu'avec une publication manuelle.

      • Ces indicateurs ne sont pas de simples détails d'analyse. Ils mettent en évidence l'automatisation et la discipline de l'adversaire : il s'agissait d'une campagne conçue pour une utilisation à grande échelle , et non pour l'expérimentation.

      Pourquoi les attaques de la chaîne d'approvisionnement sont-elles si dangereuses ?

      Les attaques visant la chaîne d'approvisionnement contournent le périmètre extérieur. Au lieu de franchir les pare-feu, elles s'infiltrent dans les mises à jour et bibliothèques logicielles fiables sur lesquelles les organisations s'appuient quotidiennement.

      • Échelle de portée : compromettre un seul package npm comme tinycolor ou un espace de noms organisationnel comme @crowdstrike expose potentiellement des milliers de systèmes en aval.
      • Détournement de confiance : les développeurs font naturellement confiance aux gestionnaires de paquets ; les mises à jour empoisonnées sont installées automatiquement.
      • Furtivité et persistance : en intégrant des workflows GitHub Actions malveillants, l'attaquant assure une exfiltration récurrente même après la suppression de la version malveillante d'origine.

      C’est pourquoi les attaques comme Shai-Hulud sont stratégiquement importantes : elles transforment les mécanismes mêmes du développement logiciel moderne (gestionnaires de paquets, pipelines CI/CD, dépendances open source) en surfaces d’attaque.

      Pourquoi l'expiration de la CISA 2015 augmente les enjeux

      Le rôle de la CISA 2015

      La loi de 2015 sur le partage d'informations en matière de cybersécurité a établi des cadres permettant aux entités privées de partager des indicateurs de menace avec le DHS (et plus tard la CISA) sans engager leur responsabilité. Ses objectifs :

      • Encourager le partage rapide des indicateurs de compromis entre les secteurs.
      • Offrir des protections en matière de responsabilité aux entreprises qui divulguent des indicateurs de bonne foi.
      • Normaliser les formats techniques (STIX/TAXII) pour un échange lisible par machine.

      Risques d'expiration

      Si la loi expire à la fin du mois de septembre :

      1. Partage réduit : les mainteneurs, les registres et les fournisseurs touchés par Shai-Hulud peuvent hésiter à partager des informations par crainte de poursuites judiciaires ou de réactions négatives réglementaires.
      2. Réponse fragmentée : Sans coordination fédérale, les renseignements sur les attaques en cours resteront cloisonnés entre des fournisseurs ou des chercheurs individuels.
      3. Atténuation plus lente : Le temps est un facteur critique dans les attaques de la chaîne d'approvisionnement. Sans le cadre de la CISA, le délai entre la découverte et la défense de la communauté pourrait s'allonger dangereusement.
      4. Érosion de la confiance : Déjà ébranlée par le compromis de l’espace de noms CrowdStrike, la communauté open source pourrait devenir encore plus réticente à faire confiance aux registres centraux en l’absence d’une réponse fédérale-privée forte et coordonnée.

      Recommandations politiques et industrielles

      1. Mesure législative immédiate

      Le Congrès devrait renouveler ou prolonger la CISA 2015 avant la fin septembre. Ne pas le faire signalerait à ses adversaires que les États-Unis se mettent en difficulté face à l'escalade des cyberrisques.

      2. Renforcement du registre

      npm, PyPI, RubyGems et d’autres registres ont besoin de mesures de protection plus strictes :

      • Authentification multifacteur obligatoire pour les éditeurs.
      • Détection automatique d'anomalies pour les pics de publication inhabituels.
      • Signature de code pour les packages publiés.
      • Vérifications de provenance des packages intégrées dans les systèmes CI/CD.

      3. Protection de l'espace de noms du fournisseur

      Les fournisseurs comme CrowdStrike devraient prendre en compte :

      • Miroirs privés de packages publics pour protéger les entreprises des versions falsifiées.
      • Surveillance continue du détournement d'espace de noms.
      • Hachages « connus comme bons » divulgués publiquement pour chaque version.

      4. Audits du secteur privé

      Les organisations devraient :

      • Épinglez les dépendances aux versions fixes.
      • Auditez les flux de travail CI/CD pour détecter les modifications non autorisées.
      • Faites pivoter les informations d'identification (jetons npm, jetons GitHub, clés cloud) immédiatement si elles sont exposées.

      5. Collaboration fédérale-privée

      Même si la CISA devient temporairement caduque, des structures ad hoc doivent combler le vide :

      • Avis conjoints entre CISA, Socket.dev, GitHub et npm.
      • Flux en temps réel de hachages et de points de terminaison malveillants.
      • Soutien financier et technique aux mainteneurs de logiciels open source (souvent des bénévoles non rémunérés).

      Conclusion : une collision de faiblesses

      La campagne Shai-Hulud prouve que les attaques contre la chaîne d'approvisionnement ne sont plus des cas isolés : elles deviennent une tactique d'attaque standard. La compromission de paquets sous l' espace de noms CrowdStrike souligne la fragilité de la confiance dans l'écosystème.

      Et alors que cette menace s’intensifie, les États-Unis pourraient laisser expirer la CISA 2015 , démantelant ainsi l’échafaudage juridique qui permet le partage d’informations et une réponse rapide.

      La leçon est claire : sans renouvellement législatif et réforme du secteur, les États-Unis risquent d’entrer dans l’ère la plus dangereuse de compromission de la chaîne d’approvisionnement en logiciels à ce jour – une ère où les adversaires exploitent à la fois les vulnérabilités techniques et les vides politiques.

      En bref : code fragile + loi fragile = risque national.

      Chargement...