Shy Hulud, qui a balayé l'écosystème JavaScript... se propage de manière autonome via npm.

2025-12-23 15:24:55

Le code malveillant “沙虫(Shai Hulud)” ciblant l'écosystème de développement JavaScript évolue constamment, et le niveau des attaques sur la Supply Chain logicielle a été confirmé comme ayant encore progressé. Les dernières analyses montrent que ce code malveillant a dépassé le niveau de simple infiltration de certains paquets logiciels, capable de transformer les développeurs en vecteurs d'infection inconscients et persistants, possédant un système de diffusion automatique.

Selon un rapport publié par la société de sécurité Expel, une nouvelle variante de sandworm possède une structure capable d'infecter automatiquement les environnements de développement et de se rediffuser via les registres npm gérés par ces développeurs. Ce code malveillant exécute un package npm infecté lors de la phase d'installation, l'infection se déroule en deux étapes. Tout d'abord, si le runtime JavaScript “Bun” n'est pas installé dans l'environnement cible, il sera automatiquement installé ; ensuite, grâce à une charge utile complexe et obfusquée, il incite en arrière-plan au vol de données d'identification, à la fuite de données et à une nouvelle infection.

Cette variante mérite particulièrement attention en raison de la sophistication de sa méthode de collecte de données d'identification. Elle utilise un accès direct aux systèmes de gestion des secrets des principales infrastructures cloud telles qu'AWS Secrets Manager, Microsoft Azure Key Vault et Google Cloud Secret Manager pour extraire des données sensibles de manière supplémentaire. Il a été confirmé qu'elle collecte également de manière exhaustive les jetons de publication NPM, les informations d'authentification GitHub et même les clés cloud sur le système local lui-même. L'outil utilisé dans ce processus est TruffleHog, qui est un outil capable de rechercher automatiquement des informations secrètes codées en dur dans le code source, les fichiers de configuration et les enregistrements Git.

La tactique la plus typique des vers de sable est l'abus de l'infrastructure GitHub. Contrairement aux méthodes précédentes où le code malveillant se connectait à un serveur de commande et de contrôle (C2), ce code malveillant télécharge les informations volées dans des dépôts publics et enregistre les appareils infectés en tant qu'exécuteurs auto-hébergés de GitHub Actions. Cela permet un accès à distance continu, les attaquants utilisant les comptes de développeurs infectés comme armes pour injecter du code malveillant dans d'autres paquets et élargir la portée de l'infection en réenregistrant automatiquement la version modifiée dans npm.

Un rapport indique qu'à ce jour, on estime que plus de 25 000 dépôts sont infectés, avec des centaines de paquets affectés. Parmi ceux-ci, on trouve des outils populaires également largement utilisés par la communauté open source.

Expel avertit à travers ce cas que le “niveau de confiance” en matière de sécurité de la Supply Chain logicielle n'est plus une zone de sécurité. Bien que les vers de sable aient attaqué l'écosystème JavaScript, d'autres communautés de langages ayant une base de confiance similaire, comme Python(PyPI), Ruby(RubyGems) et PHP(Composer), sont également très susceptibles d'être exposées à des attaques similaires. L'émergence de codes malveillants autonomes se propageant dans l'écosystème des outils de développement pourrait déclencher à l'avenir des menaces plus durables et plus larges, ce qui nécessite une vigilance.

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.