En Bref

• Shai-Hulud v2 a compromis plus de 830 paquets npm et Maven, ciblant les écosystèmes JavaScript et Java.
• Plus de 28 000 dépôts ont été infectés, entraînant la fuite d’au moins 11 858 secrets uniques.
• Le malware se propage en détournant des comptes de développeurs et en injectant du code malveillant dans des bibliothèques largement utilisées.
• Les secrets volés incluent des clés API, des identifiants cloud et des jetons pour des plateformes comme AWS, Google Cloud et GitHub.
• Les attaquants ont exploité des workflows GitHub Actions mal configurés pour automatiser l’intrusion et le vol de données.

Le ver du désert dans le code

Imaginez un ver des sables creusant silencieusement sous les dunes numériques, surgissant là où on l’attend le moins. C’est la métaphore qu’utilisent les experts en sécurité pour décrire Shai-Hulud v2 - une campagne de malware rusée qui a récemment rampé de l’écosystème npm de JavaScript vers Maven Central de Java, infectant des milliers de projets de développeurs à travers le monde. Comme un ver, il se déplace sous la surface, invisible jusqu’à ce qu’il éclate dans une tempête de secrets volés.

De npm à Maven : histoire de deux écosystèmes

Shai-Hulud v2 a fait parler de lui pour la première fois en septembre 2025, lorsqu’il a discrètement infiltré le registre npm, pilier des développeurs JavaScript. Mais il ne s’est pas arrêté là. Fin novembre, des chercheurs ont découvert la même charge malveillante tapie dans Maven, le dépôt de référence pour les projets Java. La chaîne d’infection était presque identique : les attaquants détournaient des comptes de développeurs de confiance, inséraient du code piégé dans des bibliothèques populaires, et laissaient le malware se propager à mesure que les développeurs téléchargeaient et installaient ces paquets contaminés à leur insu.

La particularité ? Le malware s’appuyait sur un processus automatisé qui dupliquait les paquets npm dans Maven - ce qui signifie qu’une seule bibliothèque empoisonnée pouvait infecter les deux écosystèmes d’un seul coup. Cette portée multiplateforme a amplifié l’impact, exposant encore plus de projets et de secrets.

Récolte de secrets à grande échelle

Une fois à l’intérieur du système d’un développeur, Shai-Hulud v2 mettait en place des workflows pirates - des scripts automatisés permettant aux attaquants d’exécuter des commandes et de scanner systématiquement les données sensibles. Clés API, identifiants cloud et jetons d’authentification étaient collectés puis exfiltrés discrètement vers des dépôts publics GitHub aux noms aléatoires, rendant le butin plus difficile à tracer. Selon GitGuardian et d’autres sociétés de sécurité, au moins 11 858 secrets ont été exposés, dont des milliers restaient valides plusieurs jours après la découverte de la brèche.

Ce qui rendait cette attaque particulièrement insidieuse, c’était sa capacité d’auto-réplication. Comme un ver informatique, elle pouvait passer d’un compte compromis à de nombreux autres, utilisant les identifiants volés pour infecter de nouvelles victimes à chaque étape. Un seul workflow mal configuré - comme un script GitHub Actions insuffisamment sécurisé - pouvait transformer un projet en « patient zéro », propageant l’infection à la vitesse des machines.

Ni la première, ni la dernière

La campagne Shai-Hulud est la dernière - et sans doute la plus destructrice - d’une série d’attaques sur la chaîne d’approvisionnement qui ont secoué le monde du logiciel ces dernières années. De la célèbre brèche SolarWinds à la campagne S1ngularity qui a frappé npm en août 2025, les attaquants ciblent de plus en plus la chaîne d’approvisionnement logicielle elle-même, exploitant la confiance que les développeurs accordent aux bibliothèques open source largement utilisées.

Les experts avertissent que ces attaques ne reposent que rarement sur des failles « zero-day » inconnues. Elles exploitent plutôt les failles du quotidien : identifiants faibles, automatisations mal configurées et complexité croissante des chaînes logicielles modernes. Comme l’a résumé un responsable de la sécurité : « Il suffit d’un seul mainteneur compromis et d’un script d’installation malveillant pour contaminer des milliers de projets en aval en quelques heures. »

Conclusion : repenser la confiance dans le bazar numérique

Shai-Hulud v2 est un signal d’alarme pour l’industrie logicielle. Il montre que nos chaînes d’approvisionnement numériques - tentaculaires, interconnectées et fondées sur la confiance - ne sont solides que par leur maillon le plus faible. Tant que les développeurs, entreprises et mainteneurs de plateformes ne repenseront pas la façon dont le code est publié, relu et consommé, les vers des sables continueront de creuser de nouveaux tunnels. La leçon est claire : à l’ère du code automatisé, la confiance doit se mériter, pas se présumer.

WIKICROOK

• Attaque sur la chaîne d’approvisionnement : Une attaque sur la chaîne d’approvisionnement est une cyberattaque qui compromet des fournisseurs de logiciels ou matériels de confiance, propageant des malwares ou des vulnérabilités à de nombreuses organisations en même temps.
• npm/Maven : npm et Maven sont des plateformes en ligne où les développeurs téléchargent et gèrent des paquets de code réutilisables pour des projets JavaScript et Java, améliorant ainsi l’efficacité.
• GitHub Actions : GitHub Actions automatise des tâches comme les tests et le déploiement de code sur GitHub. Bien que cela augmente la productivité, cela peut être détourné si ce n’est pas correctement sécurisé.
• Clé API : Une clé API est un code unique permettant à des programmes d’accéder à des données ou services. Si elle n’est pas correctement sécurisée, elle peut représenter un risque de cybersécurité.
• Préférence pour soi : L’auto-préférence désigne le fait qu’une entreprise favorise injustement ses propres produits ou services au détriment de ceux des concurrents, ce qui impacte souvent la concurrence et le choix des consommateurs.