CI/CD

Source: Trend Micro (blog de recherche Trend Vision One). Contexte: poursuite de l’enquête sur l’attaque supply chain NPM du 15 septembre et nouveaux incidents signalés le 24 novembre avec des centaines de dépôts mentionnant Sha1‑Hulud: The Second Coming. L’analyse décrit un malware Shai‑hulud 2.0 ciblant les écosystèmes cloud et développeurs. Il vole des identifiants et secrets de AWS, GCP, Azure, ainsi que des tokens NPM et jetons GitHub, et exploite les services de gestion de secrets (AWS Secrets Manager, GCP Secret Manager, Azure Key Vault). Il met en place un C2 via GitHub Actions (création d’un dépôt contrôlé par l’attaquant sous le compte de la victime, déploiement d’un runner auto‑hébergé nommé SHA1HULUD, workflows de commande), et inclut un mécanisme destructif effaçant les données si le vol d’identifiants échoue. ☁️🪱 ...

Selon la référence fournie (Socket.dev, blog), npm lance « Trusted Publishing » basé sur OpenID Connect (OIDC) pour tous les utilisateurs, afin de sécuriser la publication de packages JavaScript dans un contexte de récentes attaques de supply chain ayant exploité des tokens de mainteneurs compromis. 🔐 Points clés: Passage à des identifiants éphémères et cryptographiquement sécurisés qui expirent après chaque publication, évitant les tokens longue durée en CI/CD. Génération automatique d’attestations de provenance (preuve cryptographique de l’identité du publieur et des métadonnées d’environnement de build) sans nécessiter l’option --provenance. Objectif: réduire les risques d’attaques de la chaîne d’approvisionnement liés au vol/abus de secrets dans les pipelines. 🧰 Intégration et prérequis: ...