Comprendre et se protéger contre l’attaque chaîne d’approvisionnement des paquets NPM Sha1-Hulud 2.0

Une nouvelle menace dans l’écosystème JavaScript : l’attaque chaîne d’approvisionnement

Depuis fin novembre 2025, une importante campagne d’attaque ciblant la chaîne d’approvisionnement des paquets NPM a été détectée par le CERT-FR. Baptisée Sha1-Hulud 2.0, cette offensive vise à compromettre les modules JavaScript populaires distribués via le gestionnaire de paquets NPM, essentiel dans le développement web moderne.

Le nombre de paquets affectés dépasse les 700, uniquement parmi les versions les plus récentes, illustrant ainsi la rapidité et la sophistication de la propagation du malware. Cette attaque-chaîne-approvisionnement illustre les nouveaux défis auxquels sont confrontés les développeurs et responsables sécurité dans un univers logiciel de plus en plus interconnecté.

Qu’est-ce que la campagne Sha1-Hulud 2.0 ?

Sha1-Hulud 2.0 constitue la seconde vague d’une attaque déjà analysée en septembre 2025. Elle emprunte des méthodes de contamination similaires, notamment la compromission de scripts de pré-installation présents dans certains paquets NPM. Lorsque ces versions malveillantes sont téléchargées, un script s’exécute automatiquement, déclenchant plusieurs actions malicieuses sur la machine hôte.

Les mécanismes d’infection et d’exfiltration

• Extraction de secrets stockés localement, qu’il s’agisse de variables d’environnement ou de fichiers de configuration sensibles. L’outil TruffleHog est employé pour repérer ces informations précieuses.
• Exfiltration des données critiques vers des serveurs contrôlés par les attaquants.
• Réplication autonome du malware en contaminant à son tour d’autres paquets NPM.
• Destruction ou suppression de données utilisateurs sur la machine infectée.

Conséquences et risques liés à l’attaque chaîne d’approvisionnement

L’ampleur de cette campagne pose un risque majeur pour l’intégrité des environnements de développement et des chaînes CI/CD (intégration continue/déploiement continu). Une seule version compromise, téléchargée en production, peut engendrer des failles de sécurité importantes et compromettre des applications entières ou leurs données. Pour mieux comprendre ces enjeux, consultez notre article sur l’enjeu critique de la cybersécurité dans les projets d’innovation.

Les éditeurs de paquets tels que Postman et PostHog ont publié des listes des versions touchées afin d’inciter les utilisateurs à vérifier et mettre à jour leurs dépendances en conséquence. Plusieurs paquets compromis ont été retirés des dépôts afin d’en limiter la diffusion.

Comment détecter et se prémunir contre cette menace

Face à l’évolution active de l’attaque, le CERT-FR recommande différentes mesures pour identifier et limiter l’impact :

• Rechercher les indicateurs de compromission, notamment la présence du fichier suspect bun_environment.js dans les projets.
• Contrôler minutieusement toutes les versions des paquets NPM installés en les comparant aux listes officielles des versions compromises. Cette pratique fait partie intégrante d’une politique de surveillance et gestion des vulnérabilités en cybersécurité.
• Mettre en pause provisoirement les mises à jour afin d’éviter la propagation de versions infectées, tout en privilégiant des versions connues et sécurisées.
• Redémarrer les machines concernées après toute intervention pour nettoyer les processus malveillants résiduels.

En cas de suspicion d’infection

• Désinstaller tous les paquets concernés et affectés.
• Vérifier l’intégrité des environnements d’intégration continue et des packages maintenus en interne.
• Procéder à une rotation complète des clés et secrets présents sur les machines.
• Consulter les fiches réflexes relatives à la compromission système pour appliquer les meilleures pratiques d’éradication, comme détaillé dans notre guide sur le Patch Tuesday d’octobre 2025 qui inclut des conseils pour corriger vulnérabilités critiques.

Pour conclure : l’importance d’une vigilance accrue dans la chaîne d’approvisionnement logicielle

Cette attaque chaîne d’approvisionnement souligne les dangers grandissants liés à l’open source et à la distribution massive de dépendances. À mesure que les projets s’appuient sur un nombre croissant de modules externes, la confiance dans ces composants devient un enjeu critique.

Il est essentiel pour les développeurs, entreprises et responsables sécurité d’instaurer des mécanismes de contrôle continu et d’audit des paquets utilisés, ainsi que de sensibiliser les équipes aux risques inhérents à la chaîne d’approvisionnement logicielle. Une stratégie de cybersécurité globale intégrant ces aspects est présentée dans notre article sur la cybersécurité à l’ère numérique.

Les informations détaillées et mises à jour sur la campagne Sha1-Hulud 2.0 sont accessibles sur plusieurs blogs spécialisés, notamment ceux de Postman, PostHog, Wiz, ou Gitlab, qui apportent un éclairage précieux sur l’évolution de cette menace.