Episode #534 consacré à « Shai-Hulud »
Avec Christophe Tafani-Dereeper
Références :
Shai-Hulud:
- https://securitylabs.
datadoghq.com/articles/shai- hulud-2.0-npm-worm/ - https://github.com/DataDog/
indicators-of-compromise/blob/ main/shai-hulud-2.0/README.md - https://www.wiz.io/blog/shai-
hulud-2-0-aftermath-ongoing- supply-chain-attack - https://www.cert.ssi.gouv.fr/
actualite/CERTFR-2025-ACT-051/
Evoqué pendant l’épisode :
- Précédent épisode NLS sur la sécurité de la chaîne d’approvisionnement : https://www.nolimitsecu.fr/
securisation-de-la-chaine- dapprovisionnement-logicielle/ - Attaque sur le mainteneur npm « Qix » : https://socket.dev/blog/npm-
author-qix-compromised-in- major-supply-chain-attack - Exemples d’autres attaques par phishing npm en 2025 :
- PoC de ver npm en 2016 :
- https://www.kb.cert.org/vuls/
id/319816 (official vulnerability disclosure) - https://contolini.com/
building-an-npm-worm (preuve de concept) - https://blog.npmjs.org/post/
141702881055/package-install- scripts-vulnerability réponse de npm
- https://www.kb.cert.org/vuls/
- Outil de GitGuardian pour vérifier si un secret a fuité : https://www.gitguardian.com/
hasmysecretleaked - Réponse de GitHub après Shai-Hulud 1.0 : https://github.blog/
security/supply-chain- security/our-plan-for-a-more- secure-npm-supply-chain/ - La campagne « s1ngularity » : https://www.wiz.io/blog/
s1ngularity-supply-chain- attack - Vulnérabilité qui permettait/permet d’outrepasser « –ignore-scripts » dans npm : https://www.koi.ai/blog/
packagegate-6-zero-days-in-js- package-managers-but-npm-wont- act - Guide de pnpm (alternative à npm) pour se protéger des attaques sur la chaîne d’approvisionnement, y compris l’utilisation de « minimumReleaseAge » : https://pnpm.io/supply-
chain-security - Supply-chain security firewall : https://github.com/DataDog/
supply-chain-firewall/ - Harden-runner : https://docs.stepsecurity.
io/harden-runner
Podcast: Play in new window | Download
Subscribe: Apple Podcasts | RSS
