Dans les entrailles d'une supply chain attack
REX de Shai-Hulud 2.0 et
enseignements
Maxime Dupont
OVHcloud
Agenda
- L'attaque — contexte, chronologie et mécanisme technique
- Les enseignements — détection, remédiation et protection
- Questions / Réponses
🦩 Maxime Dupont 🦩
OVHcloud · Alternatiba · Shifters
Jardinage · Bricolage · Jeux de société · Cinéma
maximedupont.fr - m.dupont103@gmail.com
Partie 1 — L'attaque
C'est quoi une supply chain attack ?
Vous n'attaquez pas la cible directement. Vous compromettez un de ses fournisseurs.
- Un attaquant compromet un paquet npm populaire
- Le paquet npm est installé par un développeur / une CI
- Cela donne accès aux secrets, aux tokens et aux infra cloud
Shai-Hulud 2.0 — "The Second Coming"
Une première attaque a eu lieu en septembre 2025. Deux mois plus tard, une deuxième version voit le jour.
| Métrique | Valeur |
|---|---|
| Paquets npm compromis | 796 |
| Téléchargements hebdo cumulés | 20 millions+ |
| Repos GitHub exposés | 25 000+ |
| Secrets exfiltrés | 294 842 |
| Durée de l'attaque | 48h (21-23 nov.) |
Victimes notables
Zapier, PostHog, Postman, ENS Domains
Anatomie technique — Stage 0
Compromettre un premier package npm (ingénierie sociale)
Anatomie technique — Stage 1
Le paquet compromis contient un preinstall script dans package.json :
{
"scripts": {
"preinstall": "node setup_bun.js"
}
}Pourquoi preinstall ?
- S'exécute avant l'installation
- S'exécute même si l'installation échoue
- Le fichier
setup_bun.jsest volontairement non obfusqué et bien documenté — il se fait passer pour un installeur légitime du runtime Bun
L'attaquant joue sur la confiance : le code a l'air normal à première vue.
Anatomie technique — Stage 2
setup_bun.js télécharge et exécute bun_environment.js — un
fichier de 10 Mo, obfusqué.
Ce qu'il fait
- Énumère les variables d'environnement : tokens npm, GitHub, AWS, Azure...
- Scanne les fichiers SSH,
.env, configs git, historique - Télécharge et exécute Trufflehog (outil légitime de détection de secrets) pour scanner tout le répertoire home
- Collecte tout dans des fichiers JSON structurés :
cloud.json,environment.json,actionsSecrets.json
Anatomie technique — Auto-réplication
S'il trouve un token npm valide → il republie les paquets accessibles avec le payload malicieux inclus. Le ver se propage.
Anatomie technique — Exfiltration
pas de serveur C2 (Command and Control) classique.
- Création d'un repo GitHub public "Sha1-Hulud: The Second Coming"
- Push les secrets volés
Anatomie technique — Le payload destructif
Si le malware ne trouve ni token npm, ni token GitHub :
- Destruction du répertoire home de l'utilisateur
- Écrasement sécurisé + suppression de chaque fichier accessible en écriture
C'est la première supply chain attack npm avec un mécanisme de sabotage punitif.
Partie 2 — Les enseignements
Pourquoi ça nous concerne ?
On utilise (tous) npm et si on n'utilise pas npm, on en utilise d'autres
Luck isn't a security strategy.
Ryan Sobol — Principal Software Engineer at the Seattle Times
Comment l'attaque a été détectée ?
Ecosystème
Connaissez votre écosystème !
Veille technique
Veillez ! → Hacker news
Tooling
Analyse de vulnérabilité sur la CI, Dépendabot, Artifactory, ...
Remédiation — Les premières heures
Si vous découvrez que vous êtes compromis :
| Action | Détail |
|---|---|
| Ne pas supprimer le repo malveillant | Le privatiser immédiatement pour stopper l'exposition |
| Désactiver les workflows malicieux | Vérifier tous les self-hosted runners |
| Supprimer les paquets infectés | Reverter aux versions saines connues, surtout sur les registres internes |
| Révoquer TOUS les secrets | Pas seulement ceux trouvés dans le repo — tous |
| Auditer les accès | Qui a installé quoi, quand, sur quelle machine |
Se protéger — les basiques
- Utiliser des jetons scoppés (local / CI)
- Obliger la signature des commits
- Utiliser des passphrase
- Toujours publier depuis une CI
- Trusted Publisher
Se protéger — package manager
Le choix du package manager est la première ligne de défense.
Choix du manager de paquets
| Gestionnaire de paquets | Version | Date |
|---|---|---|
| Yarn | v2.0 | Jan. 2020 |
| Bun* | v1.0 | Sept. 2023 |
| pnpm** | v10.0 | Jan. 2025 |
| npm*** | - | - |
- *Avec bun, 367 librairies "reconnues" utilisant un postinsall sont whitelisté.
- **Avec pnpm,
strictDepBuildspermet de faire échouer l'installation - ***Avec npm, cela peut être configuré manuellement
--ignore-scripts.
Se protéger — gérer les exceptions
Contrôler quels paquets sont autorisés à exécuter des lifecycle scripts.
| Gestionnaire de paquets | Paramètre | Disponible depuis |
|---|---|---|
| Yarn | enableScripts (per-dep) | v2.0 (Jan. 2020) |
| Bun | trustedDependencies (per-dep) | v1.1 (Avr. 2024) |
| pnpm | onlyBuiltDependencies | v9.1 (Mai 2024) |
| npm | - | - |
Avantages
- List explicite des dépendances
- Approbation manuellement
- Visible en code review
Se protéger — minimumReleaseAge
Bloquer l'installation de versions publiées trop récemment — le temps que la communauté détecte les paquets malicieux.
# .npmrc (pnpm)
minimum-release-age=3d
minimum-release-age-exclude=my-orgLes 796 paquets compromis ont été publiés et détectés en 48h — un délai de 3 jours les aurait tous bloqués.
| Gestionnaire de paquets | Paramètre | Disponible depuis |
|---|---|---|
| npm | minimum-release-age | v11.11 (feb. 2026) |
| pnpm | minimum-release-age | v10.16 (sept. 2025) |
| Yarn | npmMinimalAgeGate | v4.10.0 (sept. 2025) |
| Bun | Support natif | v1.3 (oct. 2025) |
Se protéger — trustPolicy
Ce contrôle bloque l’installation lorsqu’une version d’un package a une authentification plus faible que les versions publiées précédemment.
| Gestionnaire de paquets | Paramètre | Disponible depuis |
|---|---|---|
| pnpm | trustPolicy: "no-downgrade" | v9 (~2024) |
| npm | — | — |
| Yarn | — | — |
| Bun | — | — |
Se protéger — npm et CI/CD
Si vous utilisez npm :
npm config set ignore-scripts true # Désactive tous les lifecycle scripts
npm install --ignore-scripts # Par installationEn CI/CD, toujours builder avec --ignore-scripts et exécuter les scripts nécessaires
manuellement après audit.
Résumé — Ce qu'il faut retenir
- npm est un vecteur d'attaque majeur
- Les preinstall scripts sont dangereux
- Les tokens sont la cible n°1
- La CI/CD est une surface d'attaque
- Security by design
- Shai-Hulud 2.0 a introduit le sabotage
Questions ?
Posez vos questions — sur l'attaque, les mesures de protection.
Pour aller plus loin
- pnpm — How We're Protecting Our Newsroom from npm Supply Chain Attacks
- Microsoft — Guidance for detecting and defending
- Wiz — 25K+ Repos Exposed
- Unit42 — npm Supply Chain Attack
- Check Point — Most Aggressive NPM Supply Chain Attack of 2025
- Datadog Security Labs — npm worm analysis
- Kaspersky Securelist — "Nothing to steal? Let's wipe."
- JFrog — Protection & Response Guide
- Snyk — Building a Resilient Software Supply Chain