top of page
Conception d'un arrière-plan en dégradé
Rechercher

Shai-Hulud 2.0 : Quand la supply chain npm devient un terrain d’attaque

  • Photo du rédacteur: EMootez
    EMootez
  • 6 déc.
  • 3 min de lecture

🔎 Qu’est-ce qui s’est passé récemment sur npm — l’affaire Shai-Hulud 2.0 (et plus encore)

Fin 2025, l’écosystème npm a été frappé par une série d’attaques en chaîne d’approvisionnement (supply‑chain) particulièrement inquiétantes. Parmi celles‑ci, la plus marquante est la campagne “Shai-Hulud 2.0”. Snyk+2eSentire+2

  • Le 24 novembre 2025, des chercheurs ont identifié une deuxième vague d’attaques — “Shai-Hulud 2.0” — qui a compromis plusieurs centaines de paquets npm, y compris des modules populaires utilisés par de grandes entreprises (parmi eux : des paquets liés à Zapier, PostHog, Postman, etc.). Snyk+2eSentire+2

  • L’attaque exploite des comptes mainteneurs compromis — souvent via des campagnes de phishing — pour publier des versions “trojanisées” des paquets. Ces versions contiennent des scripts malveillants qui s’exécutent automatiquement lors de l’installation (phase preinstall / install), sans intervention explicite de l’utilisateur. eSentire+2SOCRadar® Cyber Intelligence Inc.+2

  • Une fois installés, ces paquets peuvent exfiltrer des tokens, clé API, identifiants CI/CD, secrets cloud, voire transformer les machines victimes en runners malveillants (par exemple via GitHub Actions) pour propager l’attaque. Snyk+2community.f5.com+2

  • L’ampleur est massive : selon l’alerte du CERT‑FR, plus de 700 paquets npm étaient concernés fin novembre 2025. cert.ssi.gouv.fr

Ce n’est pas un incident isolé : des cas antérieurs en 2025 avaient déjà vu des paquets très téléchargés — comme is (2.8 M de téléchargements/semaine) — infectés par un malware. BleepingComputer+2Linux Security+2


⚠️ Pourquoi c’est grave

  • L’écosystème npm est central pour JavaScript/Node.js — des milliers de projets, entreprises, applications en dépendent. Compromettre un paquet populaire, c’est potentiellement infecter des dizaines de milliers de projets.

  • Le malware s’installe silencieusement, via les mécanismes légitimes de npm, ce qui le rend difficile à détecter sans audits conscients.

  • Les conséquences touchent à la chaîne d’approvisionnement logicielle : vol de secrets, compromission d’outils CI/CD, backdoors persistantes, propagation automatique.

Un simple npm install dans un projet vulnérable pouvait suffire à infecter un développement, un pipeline, ou même des environnements de production — sans qu’un développeur s’en rende compte.


✅ Que faire si vous utilisez npm — bonnes pratiques et remédiations

Pour minimiser le risque, voici ce que vous pouvez faire immédiatement :

  • Audit de vos dépendances — vérifier si vous utilisez des versions affectées de paquets compromis.

  • Supprimer / remplacer les paquets compromis — et faire une rotation des tokens, clés API, secrets potentiellement exposés (CI/CD, cloud, etc.).

  • Restreindre les packages à un ensemble de versions “connues” — éviter les mises à jour automatiques non vérifiées.

  • Mettre en place une politique de “Software Bill of Materials” (SBOM) — pour suivre précisément les dépendances de vos projets. eSentire+1

  • Activer l’authentification forte pour les comptes mainteneurs (2FA, passkeys, etc.) et sensibiliser aux risques de phishing — beaucoup d’attaques partent d’un compte mainteneur compromis. Sygnia+2Sisa InfoSec+2


🎯 Ce que cet incident révèle — la fragilité du modèle open‑source

L’affaire Shai‑Hulud illustre une vérité inquiétante : même les bibliothèques les plus “basiques”, largement distribuées, peuvent devenir des vecteurs de compromission si un seul compte mainteneur est compromis. Les dépendances ouvertes, la permissivité des registres, la grande interconnexion des projets et l’automatisation des installations en font un terrain fertile pour les attaques supply‑chain.

Depuis 2025, plusieurs incidents (paquets “is”, “chalk”, etc.) montrent que les menaces sont réelles, répétées — et que la confiance dans les dépendances externes doit être systématiquement tempérée par des bonnes pratiques de sécurité.


🔚 Conclusion

Le “dernier incident npm” — la vague Shai‑Hulud 2.0 — n’est pas un simple bug passager. Il s’agit d’une attaque de grande envergure, bien orchestrée, qui touche l’un des fondements mêmes de l’écosystème JavaScript / Node.js : la supply chain logicielle. Pour les développeurs, les entreprises, les responsables de la sécurité : c’est un signal d’alarme — il est plus que jamais crucial de traiter les dépendances comme des risques potentiels, et de protéger ses pipelines, secrets et environnements comme des actifs sensibles.

 
 
 

Commentaires

bottom of page