Netcrook Logo
👤 NEXUSGUARDIAN
🗓️ 29 Nov 2025  

Des vers des sables aux chaînes d’approvisionnement : Shai-Hulud frappe à nouveau, infectant les développeurs Java et JavaScript du monde entier

Une nouvelle vague du ver Shai-Hulud passe de npm à Maven, déclenchant une course mondiale alors que des milliers de secrets de développeurs sont balayés dans son sillage numérique.

En bref

  • Le ver Shai-Hulud s’est propagé de npm (JavaScript) à Maven (Java), ciblant les chaînes d’approvisionnement logicielles.
  • Plus de 25 000 dépôts GitHub ont divulgué des secrets volés ; de nouvelles fuites apparaissent toutes les 30 minutes.
  • Le ver utilise une obfuscation avancée et détruit les données des utilisateurs s’il ne parvient pas à voler des secrets de valeur.
  • Les attaquants ont exploité des failles dans les workflows GitHub Actions pour compromettre des projets populaires comme PostHog et Postman.
  • Des milliers d’identifiants pour des services comme AWS, Google Cloud et Azure ont été exposés.

Le ver qui a traversé le désert

Imaginez un ver des sables numérique, indétectable sous la surface, surgissant soudainement à travers le code qui alimente les projets logiciels les plus actifs d’Internet. C’est la réalité à laquelle sont confrontés les développeurs du monde entier alors que le ver Shai-Hulud, nommé d’après les créatures monstrueuses de Dune, transcende ses frontières d’origine. Autrefois confiné à l’écosystème npm (le cœur du développement JavaScript), Shai-Hulud a désormais franchi Maven Central, le principal hub des bibliothèques Java, révélant la fragilité des chaînes d’approvisionnement logicielles modernes.

Une histoire de deux écosystèmes

Détecté pour la première fois dans des packages npm, la seconde vague de Shai-Hulud s’est révélée plus sophistiquée et plus étendue. Des chercheurs en sécurité ont récemment identifié le ver dans un package Maven, org.mvnpm:posthog-node:4.18.1. Bien que la véritable équipe de PostHog ne l’ait jamais publié sur Maven, des outils d’automatisation qui répliquent les packages npm vers Maven ont importé l’infection par inadvertance. Ce saut inter-écosystèmes est rare et dangereux, démontrant comment les attaquants exploitent l’automatisation et la confiance entre communautés logicielles.

Techniquement, le ver se cache dans deux fichiers : un chargeur déguisé en installateur Bun (setup_bun.js) et une charge utile massive et obfusquée (bun_environment.js). Une fois activé, il récolte discrètement des secrets - tels que des jetons GitHub et des identifiants cloud - avant de les téléverser dans de nouveaux dépôts GitHub étiquetés d’un message glaçant : « Sha1-Hulud : The Second Coming ». S’il ne peut pas voler de secrets, il se livre à un incendie numérique, effaçant le répertoire personnel de la victime dans une crise destructrice.

Exploiter les failles : comment l’attaque a fonctionné

Des enquêteurs d’entreprises comme Step Security et Wiz ont retracé le vecteur d’infection à des workflows GitHub Actions mal configurés - des scripts automatisés que les développeurs utilisent pour tester et déployer du code. En abusant de déclencheurs comme pull_request_target et workflow_run, les attaquants ont pu injecter leur malware dans des projets de confiance. Des noms connus comme AsyncAPI, Postman et PostHog figurent parmi les victimes. L’ampleur est stupéfiante : plus de 5 000 fichiers contenant des secrets volés ont émergé, dont des milliers encore valides et accessibles publiquement fin novembre 2025.

Le nouveau quotidien des développeurs

Shai-Hulud n’est pas le premier ver de la chaîne d’approvisionnement - souvenez-vous du tristement célèbre piratage SolarWinds ou des attaques par confusion de dépendances en 2021 - mais sa rapidité, sa discrétion et sa portée multiplateforme sont sans précédent. L’incident met en lumière une faiblesse critique dans la façon dont les logiciels sont construits aujourd’hui : des couches de confiance automatisée, souvent avec un minimum de supervision humaine. En réponse, Maven Central renforce sa sécurité pour bloquer le reconditionnement automatique de composants npm potentiellement contaminés, mais le mal est fait et les leçons sont claires.

Alors que le ver des sables numérique s’enfonce plus profondément, les développeurs doivent fouiller dans les ruines, réparer leurs pipelines et repenser la confiance accordée au code qui circule dans leurs projets. La campagne Shai-Hulud est un signal d’alarme - un rappel que dans le monde interconnecté du logiciel moderne, un seul grain de code malveillant peut déclencher une avalanche.

WIKICROOK

  • Ver : Un ver est un logiciel malveillant auto-répliquant qui se propage sur les réseaux sans intervention de l’utilisateur, exploitant des vulnérabilités pour infecter de nombreux ordinateurs.
  • Attaque sur la chaîne d’approvisionnement : Une attaque sur la chaîne d’approvisionnement est une cyberattaque qui compromet des fournisseurs de logiciels ou de matériels de confiance, diffusant des malwares ou des vulnérabilités à de nombreuses organisations en même temps.
  • Obfuscation : L’obfuscation est la pratique qui consiste à déguiser du code ou des données pour les rendre difficiles à comprendre, analyser ou détecter par des humains ou des outils de sécurité.
  • GitHub Actions : GitHub Actions automatise des tâches comme les tests et le déploiement de code sur GitHub. Bien que cela augmente la productivité, cela peut être détourné si ce n’est pas correctement sécurisé.
  • Identifiants : Les identifiants sont des informations telles que des noms d’utilisateur et des mots de passe qui confirment l’identité et permettent l’accès à des systèmes informatiques, des réseaux ou des comptes sécurisés.
Shai-Hulud worm supply chain attack GitHub Actions
NEXUSGUARDIAN NEXUSGUARDIAN
Supply Chain Security Architect
← Back to news