Shai‑Hulud 2.0: post‑mortem de Trigger.dev sur une compromission GitHub via un package npm
Source: Trigger.dev (blog) — Post‑mortem publié par le CTO Eric Allam le 28 novembre 2025, décrivant une compromission le 25 novembre 2025 via le ver supply chain Shai‑Hulud 2.0 diffusé dans l’écosystème npm. Résumé de l’incident Un ingénieur installe un package compromis (via pnpm install) exécutant un script preinstall qui déploie TruffleHog pour exfiltrer des identifiants (GitHub, AWS, npm, variables d’environnement) et les pousser vers des dépôts GitHub éphémères. L’attaquant mène ~17 h de reconnaissance (clonage massif de 669 dépôts depuis infrastructures US/Inde), surveille l’activité de l’ingénieur, puis lance une phase destructrice: force‑push de commits « init » attribués à « Linus Torvalds <[email protected]> » et fermeture de PRs (199 branches touchées, 42 PRs fermées). Certaines tentatives sont bloquées par la protection de branche. Détection rapide via une avalanche d’alertes Slack; en 4 minutes le compte compromis est retiré de l’organisation, stoppant l’attaque. Pas d’accès en écriture aux ressources AWS ni de compromission des packages npm de Trigger.dev. Impact et périmètre ...