Attaque De La Chaîne D'approvisionnement

Selon Sonatype, une campagne de malware wormable baptisée Shai-Hulud a compromis plus de 180 paquets npm en abusant d’identifiants de mainteneurs volés. L’opération combine automatisation (IA), vol de credentials, exfiltration via GitHub et empoisonnement de packages pour une propagation rapide dans la chaîne d’approvisionnement logicielle. Le fonctionnement est multi-étapes : collecte de credentials sur postes développeurs et environnements CI, exfiltration des données vers webhook.site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7, création automatisée de dépôts GitHub nommés “Shai-Hulud” contenant les secrets dérobés, puis injection d’un workflow GitHub Actions (.github/workflows/shai-hulud-workflow.yml) pour la persistance. ...

Source : Varonis — Analyse d’une attaque supply chain où des tokens OAuth liés aux intégrations Salesloft et Drift ont été détournés pour accéder à des environnements Salesforce de plusieurs organisations, dont Zscaler et Palo Alto Networks. 🚨 Les assaillants ont exploité des connexions tierces de confiance pour mener une attaque de chaîne d’approvisionnement. En détournant des tokens OAuth associés aux intégrations Salesloft et Drift, ils ont accédé à des environnements Salesforce via des appels API légitimes, ce qui a contourné les contrôles traditionnels et élargi le périmètre et le blast radius. L’incident illustre la nécessité d’une approche plus data-first avec une gouvernance renforcée des applications OAuth et une surveillance en temps réel. ...

Selon ReversingLabs, des chercheurs ont découvert deux paquets npm malveillants — colortoolsv2 et mimelib2 — intégrés à une campagne sophistiquée de supply chain ciblant des développeurs de cryptomonnaies. La campagne combine livraison de malware via blockchain et manipulation sociale sur GitHub pour paraître légitime. Le code JavaScript des paquets est fortement obfusqué et interroge un smart contract Ethereum afin d’obtenir des URLs pointant vers un malware de seconde étape. Le contrat 0x1f117a1b07c108eae05a5bccbe86922d66227e2b héberge les commandes malveillantes, ce qui permet d’éviter la détection basée sur des URLs codées en dur. Le payload de seconde étape (SHA1: 021d0eef8f457eb2a9f9fb2260dd2e391f009a21) agit comme téléchargeur de composants additionnels. ...

L’article publié par Socket.dev le 23 juillet 2025 rapporte une attaque de la chaîne d’approvisionnement ciblant l’organisation GitHub de Toptal. Les attaquants ont publié 10 paquets npm malveillants conçus pour voler des jetons d’authentification GitHub et tenter de détruire les systèmes des victimes. Ces paquets ont affecté 73 dépôts et ont été téléchargés 5 000 fois, illustrant des techniques d’attaque sophistiquées visant des comptes organisationnels légitimes. Toptal a réagi rapidement en dépréciant les versions malveillantes et en revenant à des versions stables pour limiter les dégâts. ...