PostHog dĂ©taille lâattaque ShaiâHulud 2.0 ayant compromis des paquets npm via GitHub Actions
Selon PostHog (posthog.com), un ver autoârĂ©plicant nommĂ© ShaiâHulud 2.0 a compromis plusieurs de ses SDK JavaScript publiĂ©s sur npm le 24 novembre 2025, aprĂšs le vol dâun token GitHub et lâabus dâun workflow GitHub Actions. Nature de lâattaque: supply chain avec ver autoârĂ©plicant đȘ±. Des versions npm malveillantes contenaient un script preinstall qui exĂ©cutait TruffleHog pour scanner et voler des identifiants, les exfiltrait en crĂ©ant un dĂ©pĂŽt GitHub public, puis utilisait dâĂ©ventuels tokens npm trouvĂ©s pour publier dâautres paquets compromis, propageant ainsi lâinfection. ...