GitHub

Selon GitHub Blog (Xavier René‑Corail, 22 septembre 2025), l’écosystème open source a subi une vague de prises de contrôle de comptes sur des registres de paquets, dont npm, culminant avec une attaque baptisée Shai‑Hulud ciblant la chaîne d’approvisionnement JavaScript. 🚨 Incident: le 14 septembre 2025, Shai‑Hulud a infecté l’écosystème npm via des comptes mainteneurs compromis, en injectant des scripts post‑install malveillants dans des paquets populaires. Le ver était auto‑réplicant et capable de voler plusieurs types de secrets (pas uniquement des jetons npm), ce qui aurait pu permettre des attaques en continu sans l’intervention rapide de GitHub et de mainteneurs open source. ...

Selon Arctic Wolf (blog), une campagne sophistiquée de type supply chain cible l’écosystème npm avec un malware auto-propagatif qui vole des identifiants développeur, clés cloud et tokens, puis se répand en empoisonnant d’autres packages. Points clés Type d’attaque : supply chain, malware auto-propagatif (worm), vol d’identifiants. Impact : >180 packages npm compromis ; exfiltration de secrets et réédition de packages trojanisés. Vecteurs : TruffleHog, GitHub Actions, tokens npm compromis, dépôts GitHub publics. Chaîne d’attaque (résumé technique) ...

Selon KrebsOnSecurity (Brian Krebs, 16 septembre 2025), une campagne visant l’écosystème NPM a vu l’émergence de Shai-Hulud, un ver auto-propagatif qui vole des identifiants (tokens NPM, clés cloud, etc.) et exfiltre ces secrets en les publiant dans des dépôts GitHub publics. Au moins 187 paquets NPM ont été touchés, dont des paquets liés à CrowdStrike (rapidement retirés par le registre NPM). Le ver recherche un token NPM dans l’environnement lors de l’installation d’un paquet compromis. S’il en trouve, il modifie les 20 paquets les plus populaires accessibles avec ce token, s’y copie puis publie de nouvelles versions, déclenchant une propagation en chaîne. Il utilise l’outil open source TruffleHog pour détecter des secrets (GitHub, NPM, AWS, Azure, GCP, SSH, API), tente de créer de nouvelles GitHub Actions et publie les données volées. Le design cible Linux/macOS et ignore Windows. ...

Selon Wiz Research (billet de recherche), une attaque supply‑chain baptisée « s1ngularity » a compromis des packages Nx sur npm et déployé un malware utilisant des CLIs d’IA pour identifier des fichiers sensibles et exfiltrer des données via des comptes GitHub compromis. • Nature et impact: attaque supply‑chain sur des packages Nx (npm). Le malware, alimenté par des CLIs d’IA (Claude, Gemini, Amazon Q), a entraîné des fuites de milliers de secrets et la publication de dépôts privés, touchant plus de 1 700 victimes. GitHub a procédé à des révocations massives d’identifiants en réponse. ...

Selon ReversingLabs, des chercheurs ont découvert deux paquets npm malveillants — colortoolsv2 et mimelib2 — intégrés à une campagne sophistiquée de supply chain ciblant des développeurs de cryptomonnaies. La campagne combine livraison de malware via blockchain et manipulation sociale sur GitHub pour paraître légitime. Le code JavaScript des paquets est fortement obfusqué et interroge un smart contract Ethereum afin d’obtenir des URLs pointant vers un malware de seconde étape. Le contrat 0x1f117a1b07c108eae05a5bccbe86922d66227e2b héberge les commandes malveillantes, ce qui permet d’éviter la détection basée sur des URLs codées en dur. Le payload de seconde étape (SHA1: 021d0eef8f457eb2a9f9fb2260dd2e391f009a21) agit comme téléchargeur de composants additionnels. ...

Selon une analyse signée par Brandon Mitchell, une faute de frappe de ghcr.io vers ghrc.io expose à un site configuré pour déclencher un flux d’authentification de registre et potentiellement dérober des identifiants GitHub. 🚨 Le domaine ghrc.io affiche en surface une page par défaut nginx, mais répond sous l’API OCI « /v2/ » avec un HTTP 401 et un en-tête WWW-Authenticate: Bearer realm=“https://ghrc.io/token", mimant le comportement d’un registre de conteneurs. Cet en-tête pousse des clients comme Docker, containerd, podman et les CRI Kubernetes à solliciter un jeton auprès de « https://ghrc.io/token », ce qui n’a aucune raison légitime sur un nginx par défaut et indique un objectif de vol d’identifiants. ...

Selon Wiz (blog), une attaque de supply chain a touché le 26 août 2025 le système de build Nx sur npm via des versions malveillantes contenant un malware post-install. Le code a collecté des actifs sensibles (wallets crypto, tokens GitHub/npm, clés SSH, fichiers .env, etc.) et a exfiltré ces données vers des dépôts publics créés au sein des comptes GitHub des victimes (s1ngularity-repository). GitHub a désactivé ces dépôts le 27 août à 9h UTC, mais la fenêtre d’exposition (~8h) a permis des téléchargements par les attaquants et d’autres acteurs. ...

Selon un papier de recherche soumis à l’IEEE par Ruby Nealon, l’attaque XZ Utils (backdoor visant les processus sshd via la bibliothèque liblzma chargée indirectement par systemd) a mis en lumière la persona « JiaT75 », qui a bâti la confiance pendant près de deux ans avant d’auto-fusionner une version piégée. L’étude montre qu’il est possible d’identifier, à partir de données publiques GitHub et Git, des signaux d’anomalies comportementales associés à de telles opérations de social engineering dans l’open source. ...

Selon BleepingComputer, une campagne d’espionnage menée par un acteur soutenu par un État cible des ambassades étrangères en Corée du Sud pour déployer le malware XenoRAT à partir de dépôts GitHub malveillants. L’attaque repose sur l’abus de référentiels GitHub servant de vecteur de distribution, permettant d’acheminer et d’installer XenoRAT, un outil d’accès à distance, sur les systèmes des cibles 🕵️‍♂️🐀. Les cibles identifiées sont des ambassades étrangères en Corée du Sud, dans un contexte d’espionnage étatique. ...

Cet article de ReversingLabs (RL) rapporte une attaque de la chaîne d’approvisionnement affectant l’extension ETHcode, un outil pour le développement de contrats intelligents Ethereum sur Visual Studio Code. ETHcode, développé par l’organisation GitHub 7finney, a été compromis par une pull request (PR) soumise par un utilisateur nommé Airez299. Cette PR, apparemment innocente, a introduit une dépendance malveillante nommée keythereum-utils, qui a permis l’exécution de code malveillant. L’analyse de RL a révélé que keythereum-utils contenait un code JavaScript fortement obfusqué, conçu pour lancer un script PowerShell caché téléchargeant un second payload potentiellement destiné à voler des actifs crypto ou compromettre des contrats Ethereum en développement. ...