Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant Shai Hulud v2

Logiciel malveillant Shai Hulud v2

Par Mezo en Logiciels malveillants
Se traduisent par :

La deuxième vague de l'attaque Shai-Hulud contre la chaîne d'approvisionnement a désormais atteint l'écosystème Maven, suite à la compromission de plus de 830 paquets dans le registre npm. Les chercheurs ont identifié un paquet Maven Central, org.mvnpm:posthog-node:4.18.1, contenant les mêmes composants malveillants que les précédentes attaques npm : le chargeur setup_bun.js et la charge utile bun_environment.js. À l'heure actuelle, il s'agit du seul paquet Java connu affecté.

Il est important de noter que le package Maven n'a pas été publié par PostHog. Il a été généré par un processus mvnpm automatisé qui reconstruit les packages npm en tant qu'artefacts Maven. Maven Central a confirmé que toutes les copies miroir ont été supprimées le 25 novembre 2025 et que des mesures de protection supplémentaires sont en cours de mise en place pour empêcher la republication de composants npm compromis.

Objectifs d’impact et d’attaque des développeurs mondiaux

Cette nouvelle vague cible les développeurs du monde entier, dans le but de voler des données sensibles telles que :

  • Clés API
  • Identifiants cloud
  • jetons npm et GitHub

Il facilite également une compromission plus profonde de la chaîne d'approvisionnement, de manière autoréplicative et à la manière d'un ver informatique. Cette version de Shai-Hulud est plus furtive, agressive et destructrice que la variante initiale de septembre. En compromettant les comptes des mainteneurs npm, les attaquants peuvent publier des paquets piégés qui installent des portes dérobées sur les machines des développeurs et analysent automatiquement les systèmes à la recherche de données confidentielles à exfiltrer vers les dépôts GitHub.

Mode de fonctionnement du logiciel malveillant : double flux de travail et techniques furtives

L'attaque exploite deux flux de travail malveillants :

  • Enregistrement d'un runner auto-hébergé : permet l'exécution de commandes arbitraires à chaque ouverture d'une discussion GitHub.
  • Flux de travail de collecte de secrets : collecte systématiquement les identifiants et les transfère vers GitHub.
  • Les principales améliorations de Shai-Hulud v2 incluent :
  • Utilisation de l'environnement d'exécution Bun pour masquer la logique principale
  • Augmentation du plafond d'infection de 20 à 100 colis
  • Dépôts d'exfiltration aléatoires sur GitHub pour échapper à la détection

À ce jour, plus de 28 000 dépôts ont été touchés, ce qui témoigne de l’ampleur et de la discrétion de cette campagne.

Vulnérabilités exploitées et mécanismes de la chaîne d’approvisionnement

Des acteurs malveillants ont exploité les erreurs de configuration des flux de travail d'intégration continue (CI) dans GitHub Actions, notamment les déclencheurs `pull_request_target` et `workflow_run`. Un seul flux de travail mal configuré peut transformer un dépôt en « patient zéro », permettant une propagation rapide de code malveillant.

L'attaque a ciblé des projets associés à AsyncAPI, PostHog et Postman, poursuivant une campagne plus vaste qui a débuté avec l'attaque S1ngularity d'août 2025, qui a touché plusieurs packages Nx sur npm.

Les conséquences : fuites de secrets et risque systémique

L'analyse de la campagne montre :

  • Des centaines de jetons d'accès GitHub et d'identifiants cloud provenant d'AWS, de Google Cloud et de Microsoft Azure ont été exfiltrés.
  • Plus de 5 000 fichiers contenant des secrets ont été téléchargés sur GitHub.
  • Sur 11 858 secrets uniques identifiés dans 4 645 référentiels, 2 298 sont restés valides et exposés publiquement au 24 novembre 2025.

Ceci démontre comment un seul mainteneur compromis peut déclencher un effet domino, infectant des milliers d'applications en aval.

Recommandations pour les développeurs

Pour limiter les risques, les développeurs devraient :

  • Renouvelez toutes les clés API, les jetons et les identifiants.
  • Auditer et supprimer les dépendances compromises
  • Réinstallez les versions propres du package
  • Sécurisez vos environnements CI/CD grâce au principe du moindre privilège, à l'analyse des secrets et à l'application automatisée des politiques de sécurité.

Shai-Hulud souligne que la chaîne d'approvisionnement logicielle moderne demeure extrêmement vulnérable. Les attaquants continuent d'exploiter les failles dans la publication, le packaging et le déploiement des logiciels libres, souvent sans recourir à des vulnérabilités zero-day. La défense la plus efficace exige de repenser la manière dont les logiciels sont conçus, partagés et utilisés.

Tendance

Arnaque à la demande d'autorisation du service des...

Hameçonnage, Courrier indésirable
Il est essentiel de rester vigilant lors de la consultation de messages professionnels, d'autant plus que les cybercriminels usurpent de plus en plus l'identité des services internes pour accéder à des informations sensibles. L'un des exemples les plus récents de cette tactique est l'escroquerie à la fausse demande d'autorisation du service des ressources humaines, une opération d'hameçonnage...

Le plus regardé

Chargement...