Exfiltration De Secrets

Selon Aikido Security (blog, 28 déc. 2025), une nouvelle souche du ver/malware Shai Hulud a été détectée dans le package npm @vietmoney/react-big-calendar, vraisemblablement un test des attaquants, sans signe de large propagation à ce stade. • Nature et contexte: Aikido décrit une variante «novelle et inédite» de Shai Hulud, dont le code apparaît à nouveau obfusqué depuis la source originale (peu probable qu’il s’agisse d’un copycat). Le package malveillant a été identifié peu après sa mise en ligne, avec des changements notables dans la chaîne d’exfiltration et l’opérationnalisation du ver. ⚠️ ...

Selon un avis GitHub Security Advisory (dépôt LangChain) publié le 23 déc. 2025, une vulnérabilité critique (GHSA-c67j-w6g6-q2cm, CVE-2025-68664, CVSS 9.3) affecte les API de sérialisation/désérialisation de LangChain. Le défaut d’échappement du champ interne ’lc’ dans dumps()/dumpd() permet à des données contrôlées par un attaquant d’être interprétées comme des objets LangChain lors de load()/loads(), ouvrant la voie à l’exfiltration de secrets et à l’instanciation de classes au sein d’espaces de noms « de confiance ». ⚠️ ...

Selon Aikido (blog Aikido.dev), une « seconde frappe » de la campagne Shai‑Hulud a été détectée le 24 novembre 2025, opportunément calée avant la révocation des « classic tokens » npm prévue le 9 décembre, alors que de nombreux éditeurs n’avaient pas encore migré vers Trusted Publishing. • Nature de l’attaque: ver npm auto‑réplicant visant la chaîne d’approvisionnement. Une fois installé (pendant l’installation des dépendances), il cherche des secrets (API keys, tokens cloud, GitHub/npm) via TruffleHog, exfiltre vers des dépôts GitHub publics et tente de publier de nouveaux paquets npm infectés pour se propager. L’attaquant nomme cette vague « Second Coming » et a exposé environ 26,3k dépôts GitHub contenant des secrets avec la description « Sha1‑Hulud: The Second Coming ». ...

Selon HelixGuard Team (24/11/2025), une campagne coordonnée a empoisonné en quelques heures plus de 300 composants NPM via de faux ajouts liés au runtime Bun, entraînant le vol de secrets et une propagation de type ver affectant plus de 27 000 dépôts GitHub. L’attaque repose sur l’injection d’un script NPM preinstall pointant vers setup_bun.js, qui exécute un fichier hautement obfusqué bun_environment.js (>10 Mo). Ce dernier collecte des secrets (tokens NPM, identifiants AWS/GCP/Azure, GitHub, variables d’environnement) et lance TruffleHog pour étendre la collecte. ...

Source: manchicken (GitHub) — Le chercheur publie une divulgation responsable d’une vulnérabilité signalée à 1Password en octobre 2023 et autorisée à la publication via BugCrowd en janvier 2024, portant sur le comportement de 1Password CLI (op). • Nature de la vulnérabilité: une fois le coffre déverrouillé via 1Password CLI, la session reste active et est héritée par les processus enfants, sans nouvelle invite. Ce comportement permet à des composants de la chaîne d’outillage (ex. extensions ou scripts post‑installation) d’accéder aux secrets sans interaction supplémentaire. Le chercheur montre que les mots de passe sont récupérables en clair et que l’outil peut énumérer les coffres et les éléments. ...

Selon StepSecurity, un incident de supply chain a compromis le paquet populaire @ctrl/tinycolor (2M+ téléchargements hebdo) ainsi que plus de 40 autres paquets npm, avec retrait des versions malveillantes du registre. Découvert par @franky47, le binaire malveillant bundle.js (~3,6 Mo) s’exécute lors de npm install (probable postinstall détourné) et cible des environnements Linux/macOS. L’attaque s’appuie sur un chargeur Webpack modulaire exécuté de façon asynchrone. Il réalise une reconnaissance du système (plateforme, architecture) et exfiltre l’intégralité de process.env, capturant des variables sensibles (ex. GITHUB_TOKEN, AWS_ACCESS_KEY_ID). Le code adopte une gestion silencieuse des erreurs et n’émet aucun log, tout en camouflant certains comportements (exécution de TruffleHog). ...

Selon Kudelski Security (blog de recherche), un enchaînement de failles dans l’intégration de Rubocop par CodeRabbit a permis d’obtenir une exécution de code à distance (RCE) sur des serveurs de production, d’exfiltrer de nombreux secrets (dont la clé privée du GitHub App CodeRabbit) et, par ricochet, d’accéder en lecture/écriture à des dépôts GitHub installés (jusqu’à 1 M de dépôts). Les correctifs ont été déployés rapidement en janvier 2025, notamment la désactivation puis l’isolation de Rubocop. ...