Malware

Attaque de la supply chain : le ver « Shai-Hulud » frappe l’écosystème npm (Mis à jour le 23 septembre)

Clock Icon 6 minutes de lecture
Related Products
Advanced Threat PreventionAdvanced WildFireCloud-Delivered Security ServicesCode to Cloud PlatformCortexCortex CloudCortex XDRCortex XSIAMNext-Generation FirewallPrisma CloudUnit 42 Incident Response iconUnit 42 Incident Response

Avant-propos

L’équipe Unit 42 de Palo Alto Networks enquête sur une attaque active et de grande ampleur de la supply chain logicielle visant l’écosystème npm (Node Package Manager). Un ver inédit et auto-réplicatif, actuellement baptisé « Shai-Hulud », est à l’origine de la compromission de plus de 180 paquets logiciels.

Cette attaque marque une évolution majeure des cybermenaces liées à la supply chain, en exploitant une propagation automatisée pour agir à grande échelle. Unit 42 estime également, avec un niveau de confiance modéré, qu’un LLM a été utilisé pour générer le script bash malveillant, sur la base de commentaires et d’emojis.

Les clients de Palo Alto Networks bénéficient d’une meilleure protection et de mesures de d’atténuation contre différents aspects de cette attaque grâce à nos produits et services. Citons notamment :

L’équipe Unit 42 de réponse aux incidents peut également intervenir en cas de compromission ou réaliser une évaluation proactive afin de réduire votre niveau de risque.

Unit 42 – Thématiques connexes Supply Chain, Collecte d’identifiants, Hameçonnage, JavaScript

Paquets npm et supply chain – Le contexte

L’attaque pourrait provenir d’une campagne d’hameçonnage visant à collecter des identifiants, en usurpant l’identité de npm et en demandant aux développeurs de « mettre à jour » leurs options d’authentification multifacteur (MFA). Une fois l’accès initial obtenu, l’acteur de la menace a déployé un payload malveillant opérant comme un ver et déclenchant une séquence d’attaque en plusieurs étapes. Sur la base de commentaires et d’emojis dans le script bash, Unit 42 estime, avec un niveau de confiance modéré, que l’acteur de la menace s’est appuyé sur un LLM pour l’écriture du code malveillant.

Les versions compromises des paquets logiciels contiennent un ver qui exécute un script post-installation. Ce malware explore l’environnement infecté à la recherche d’identifiants, notamment :

  • Les fichiers .npmrc (pour les jetons npm)
  • Les variables d’environnement et fichiers de configuration ciblant spécifiquement les GitHub Personal Access Tokens (PAT) et les clés API de services cloud tels que :
    • Amazon Web Services (AWS)
    • Google Cloud Platform (GCP)
    • Microsoft Azure

Les matériels d'authentification récoltés sont exfiltrés vers un terminal contrôlé par l’acteur. Le logiciel malveillant crée ensuite, de manière programmatique, un référentiel GitHub public nommé « Shai-Hulud » sous le compte de la victime. Il effectue un commit contenant les secrets volés et les expose publiquement.

En utilisant le jeton npm dérobé, le malware s’authentifie auprès du registre npm au nom du développeur compromis. Il identifie alors d’autres paquets logiciels maintenus par ce développeur, y injecte du code malveillant et publie les nouvelles versions compromises sur le registre. Ce processus automatisé permet au malware de se propager de façon exponentielle, sans intervention directe de l’acteur.

Portée actuelle de l’attaque

L’ampleur de la compromission est considérable et touche de nombreux paquets logiciels, dont la bibliothèque @ctrl/tinycolor, très populaire, qui enregistre des millions de téléchargements chaque semaine.

Le vol d’identifiants dans le cadre de cette campagne peut conduire directement à la compromission de services cloud (AWS, Azure ou GCP), au vol de données depuis des buckets de stockage, au déploiement de ransomware, au cryptomining ou encore à la suppression d’environnements de production. Il peut également déboucher sur le vol direct de bases de données et le détournement de services tiers à des fins d’hameçonnage. Enfin, le vol de clés SSH peut permettre le mouvement latéral au sein des réseaux compromis.

Recommandations provisoires

  1. Rotation des identifiants : procédez immédiatement à la rotation de tous les identifiants développeur. Cela inclut les jetons d’accès npm, les GitHub Personal Access Tokens (PAT), les clés SSH ainsi que toutes les clés d’accès programmatiques utilisées pour les services cloud et tiers. Considérez que tout secret présent sur la machine d’un développeur a pu être compromis.
  2. Audit des dépendances : réalisez sans délai un audit complet de toutes les dépendances de vos projets. Utilisez des outils comme npm audit pour identifier les versions de paquets logiciels vulnérables. Vérifiez avec attention vos fichiers package-lock.json ou yarn.lock et assurez-vous que vous n’utilisez pas de paquets logiciels déjà compromis. Supprimez ou mettez à jour les dépendances affectées immédiatement.
  3. Revue de la sécurité des comptes GitHub : chaque développeur doit vérifier son compte GitHub afin de détecter la présence de référentiels publics non reconnus (en particulier « Shai-Hulud »), de commits suspects ou de modifications inattendues dans les workflows GitHub Actions susceptibles d’établir une persistance.
  4. Application stricte du MFA : assurez-vous que l’authentification MFA soit strictement appliquée sur tous les comptes développeur, en particulier sur les plateformes critiques telles que GitHub et npm, afin d’éviter toute exploitation des identifiants.

Requêtes de chasse aux menaces d’Unit 42

Conclusion

Le ver Shai-Hulud marque une escalade majeure dans la série d’attaques npm qui ciblent la communauté open source. Il fait suite à des incidents récents tels que la compromission de s1ngularity/Nx, impliquant le vol d’identifiants et l’exposition de référentiels privés, ainsi qu’une vaste campagne d’hameçonnage npm observée en septembre 2024.

Son caractère auto-réplicatif est particulièrement remarquable, puisqu’il combine efficacement le vol d’identifiants avec un mécanisme de diffusion automatisée qui exploite les droits de publication existants des mainteneurs pour se propager dans l’écosystème. Nous avons en outre observé l’intégration de contenus générés par IA dans la campagne Shai-Hulud, une évolution qui fait écho à l’attaque « s1ngularity/Nx », qui utilisait clairement des outils en ligne de commande boostés par l’IA à des fins de reconnaissance. Ce phénomène illustre la menace croissante que représentent les acteurs malveillants exploitant l’IA pour leurs activités, ce qui accélère la dissémination des secrets.

La constance et le raffinement de ces méthodologies d’attaque soulignent la menace grandissante qui pèse sur les supply chains logicielles open source. Ces attaques se propagent désormais au rythme de l’intégration et du déploiement continus (CI/CD), posant des défis de sécurité durables et de plus en plus complexes pour l’ensemble de l’écosystème.

Palo Alto Networks a partagé ses conclusions avec les autres membres de la Cyber Threat Alliance (CTA). Les membres de la CTA s’appuient sur ces renseignements pour déployer rapidement des mesures de protection auprès de leurs clients et perturber de manière coordonnée les activités des cybercriminels. Cliquez ici pour en savoir plus sur la Cyber Threat Alliance.

Protections et détections de Palo Alto Networks contre les attaques de la supply chain visant les paquets npm

Les clients de Palo Alto Networks peuvent s’appuyer sur un large éventail de protections, de services et de mises à jour intégrés aux produits pour identifier et contrer cette menace.

Vous pensez que votre entreprise a été compromise ? Vous devez faire face à une urgence ? Contactez l’équipe Unit 42 de réponse à incident ou composez l’un des numéros suivants :

  • Amérique du Nord : Numéro gratuit : +1 (866) 486-4842 (866.4.UNIT42)
  • Royaume-Uni : +44 20 3743 3660
  • Europe et Moyen-Orient : +31.20.299.3130
  • Asie : +65.6983.8730
  • Japon : +81 50 1790 0200
  • Australie : +61.2.4062.7950
  • Inde : 000 800 050 45107

Advanced WildFire

Les modèles de Machine Learning d’Advanced WildFire ont été mis à jour sur la base des indicateurs de compromission (IoC) associés à cette menace.

Pare-feux de nouvelle génération avec prévention avancée des menaces

Le pare-feu de nouvelle génération (Next-Generation Firewall ), avec l'abonnement de sécurité Advanced Threat Prevention , peut aider à bloquer l'attaque via la signature de prévention des menaces suivante : 87042, 87046 et 87047.

Services de sécurité cloud pour le pare-feu de nouvelle génération

Le service Advanced URL Filtering aide à bloquer les attaques de phishing de type meddler-in-the-middle (MitM) et classe comme malveillantes les URL associées à cette activité.

Cortex XDR et XSIAM

Cortex XDR et XSIAM contribuent à la protection contre les menaces décrites dans cet article. Les agents sont conçus pour empêcher l’exécution de malwares connus, mais aussi de menaces inconnues grâce à la protection comportementale et à l’analyse locale basée sur le machine learning.

Cortex Cloud

Cortex Cloud aide à détecter les paquets malveillants et à identifier les erreurs de configuration du pipeline qui pourraient exposer les clients à des dépendances open source non testées ou non approuvées. Le scanner est conçu pour signaler les vulnérabilités, les problèmes de licence et les risques opérationnels, mais il n'a pas pour but de détecter le code malveillant dans les paquets récemment publiés. Il est essentiel d'examiner les alertes CI/CD pertinentes et de vérifier que vos applications ne s'appuient pas sur des versions de paquets npm non sanctionnées.

Cortex Cloud a publié un article de blog détaillé décrivant comment la plateforme peut être utilisée pour détecter et prévenir les attaques de la supply chain.

Prisma Cloud

Prisma Cloud contribue à détecter l’utilisation de paquets logiciels malveillants et à identifier des configurations erronées dans les pipelines susceptibles d’exposer les clients à des versions OSS non testées ou non autorisées. Toutefois, son scanner est conçu pour repérer les vulnérabilités, les problèmes de licence et les risques opérationnels, et non pour détecter du code malveillant dans de nouveaux paquets logiciels. Il est donc essentiel d’examiner attentivement les alertes CI/CD pertinentes et de s’assurer que vos applications n’utilisent pas de versions non autorisées de paquets npm.

Indicateurs de compromission

  • 46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09
  • b74caeaa75e077c99f7d44f46daaf9796a3be43ecf24f2a1fd381844669da777
  • dc67467a39b70d1cd4c1f7f7a459b35058163592f4a9e8fb4dffcbba98ef210c
  • 4b2399646573bb737c4969563303d8ee2e9ddbd1b271f1ca9e35ea78062538db
  • hxxps://webhook[.]site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7

Pour aller plus loin

Étiquettes

SOMMAIRE

Sur le même thème

Associé Malware Ressources

A pictorial representation of code assistant LLMs. An open laptop on a desk displaying a complex digital security interface, with ambient red and black lighting in the background.
Recherche sur les menaces

Les assistants de codage IA sous la loupe : risques et abus
Lire l’article Right arrow
Pictorial representation of AdaptixC2. Digital iris with binary code, emphasizing cybersecurity and technology concepts.
Recherche sur les menaces

AdaptixC2 : Un nouveau framework open source exploité activement
Lire l’article Right arrow
Pictorial representation of social engineering. Digital illustration of four human profiles connected by glowing neural network lines against a dark background, symbolizing connectivity and technology.
Rapports de tendances

Rapport global 2025 de Unit 42 sur la réponse à incident : édition spéciale sur l’ingénierie sociale
Lire l’article Right arrow
Pictorial representation of Muddled Libra (Scattered Spider). Illustration of a zodiac symbol Libra represented by scales, set against a cosmic purple background with stars.
Groupes cybercriminels

Évaluation des menaces de Muddled Libra : un groupe plus puissant, plus rapide, plus redoutable
Lire l’article Right arrow
Pictorial representation of a ClickFix campaign. A glowing, red padlock illuminated with light particles, set against a dark, rainy backdrop.
Recherche sur les menaces

Fixez le clic : prévention du vecteur d’attaque ClickFix
Lire l’article Right arrow
Pictorial representation of Iranian-backed threat groups and hacktivists. Digital illustration of a global network featuring interconnected lines and dots, suggesting a data-driven representation of worldwide connectivity, with a focus on technology and innovation. The image uses blue tones with red and light blue highlights.
Menaces de grande envergure

Briefing Menace – Hausse du cyber-risque lié à l’Iran (Mise à jour le 30 juin)
Lire l’article Right arrow
Pictorial illustration of cybercriminals. Illustration of a computer chip with a warning message "Network Hacked" displayed in a bright red alert triangle, surrounded by intricate digital elements and glowing lines, signifying a cybersecurity breach.
Recherche sur les menaces

Le secteur financier africain pris pour cible : comment les cybercriminels détournent des outils open source
Lire l’article Right arrow
Pictorial representation of . Vibrant futuristic cityscape with glowing neon lines, clouds, and a dramatic sky at twilight.
Recherche sur les menaces

L’évolution des binaires Linux dans les opérations ciblées sur le cloud
Lire l’article Right arrow
Pictorial representation of LLM content filtering efficacy. Two professionals working intently at computers in a modern office with digital graphs overlaying the image.
Recherche sur les menaces

Garde-fous des LLM : quelle efficacité ? Étude comparative des performances de filtrage des LLM chez les leaders de la GenAI
Lire l’article Right arrow
Enlarged Image

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité

Default Heading

Read the article Right Arrow