March 08, 2026

Shai-Hulud

Listen Later

29 minutes

Episode #534 consacré à « Shai-Hulud »

Avec Christophe Tafani-Dereeper

Références :

Shai-Hulud:

https://securitylabs.datadoghq.com/articles/shai-hulud-2.0-npm-worm/

https://github.com/DataDog/indicators-of-compromise/blob/main/shai-hulud-2.0/README.md

https://www.wiz.io/blog/shai-hulud-2-0-aftermath-ongoing-supply-chain-attack

https://www.cert.ssi.gouv.fr/actualite/CERTFR-2025-ACT-051/

Evoqué pendant l’épisode :

Précédent épisode NLS sur la sécurité de la chaîne d’approvisionnement : https://www.nolimitsecu.fr/securisation-de-la-chaine-dapprovisionnement-logicielle/

Attaque sur le mainteneur npm « Qix » : https://socket.dev/blog/npm-author-qix-compromised-in-major-supply-chain-attack

Exemples d’autres attaques par phishing npm en 2025 :

https://bsky.app/profile/bad-at-computer.bsky.social/post/3lydioq5swk2y

https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised

https://www.mimecast.com/threat-intelligence-hub/npm-phishing-campaign/

PoC de ver npm en 2016 :

https://www.kb.cert.org/vuls/id/319816 (official vulnerability disclosure)

https://contolini.com/building-an-npm-worm (preuve de concept)

https://blog.npmjs.org/post/141702881055/package-install-scripts-vulnerability réponse de npm

Outil de GitGuardian pour vérifier si un secret a fuité : https://www.gitguardian.com/hasmysecretleaked

Réponse de GitHub après Shai-Hulud 1.0 : https://github.blog/security/supply-chain-security/our-plan-for-a-more-secure-npm-supply-chain/

La campagne « s1ngularity » : https://www.wiz.io/blog/s1ngularity-supply-chain-attack

Vulnérabilité qui permettait/permet d’outrepasser « –ignore-scripts » dans npm : https://www.koi.ai/blog/packagegate-6-zero-days-in-js-package-managers-but-npm-wont-act

Guide de pnpm (alternative à npm) pour se protéger des attaques sur la chaîne d’approvisionnement, y compris l’utilisation de « minimumReleaseAge » : https://pnpm.io/supply-chain-security

Supply-chain security firewall : https://github.com/DataDog/supply-chain-firewall/

Harden-runner : https://docs.stepsecurity.io/harden-runner

The post Shai-Hulud appeared first on NoLimitSecu.

...more

View all episodes

View all episodes

Download on the App Store

Download on the App Store

Get it on Google Play

NoLimitSecu

By NoLimitSecu

5

22 ratings

March 08, 2026

Shai-Hulud

Listen Later

29 minutes

Episode #534 consacré à « Shai-Hulud »

Avec Christophe Tafani-Dereeper

Références :

Shai-Hulud:

https://securitylabs.datadoghq.com/articles/shai-hulud-2.0-npm-worm/

https://github.com/DataDog/indicators-of-compromise/blob/main/shai-hulud-2.0/README.md

https://www.wiz.io/blog/shai-hulud-2-0-aftermath-ongoing-supply-chain-attack

https://www.cert.ssi.gouv.fr/actualite/CERTFR-2025-ACT-051/

Evoqué pendant l’épisode :

Précédent épisode NLS sur la sécurité de la chaîne d’approvisionnement : https://www.nolimitsecu.fr/securisation-de-la-chaine-dapprovisionnement-logicielle/

Attaque sur le mainteneur npm « Qix » : https://socket.dev/blog/npm-author-qix-compromised-in-major-supply-chain-attack

Exemples d’autres attaques par phishing npm en 2025 :

https://bsky.app/profile/bad-at-computer.bsky.social/post/3lydioq5swk2y

https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised

https://www.mimecast.com/threat-intelligence-hub/npm-phishing-campaign/

PoC de ver npm en 2016 :

https://www.kb.cert.org/vuls/id/319816 (official vulnerability disclosure)

https://contolini.com/building-an-npm-worm (preuve de concept)

https://blog.npmjs.org/post/141702881055/package-install-scripts-vulnerability réponse de npm

Outil de GitGuardian pour vérifier si un secret a fuité : https://www.gitguardian.com/hasmysecretleaked

Réponse de GitHub après Shai-Hulud 1.0 : https://github.blog/security/supply-chain-security/our-plan-for-a-more-secure-npm-supply-chain/

La campagne « s1ngularity » : https://www.wiz.io/blog/s1ngularity-supply-chain-attack

Vulnérabilité qui permettait/permet d’outrepasser « –ignore-scripts » dans npm : https://www.koi.ai/blog/packagegate-6-zero-days-in-js-package-managers-but-npm-wont-act

Guide de pnpm (alternative à npm) pour se protéger des attaques sur la chaîne d’approvisionnement, y compris l’utilisation de « minimumReleaseAge » : https://pnpm.io/supply-chain-security

Supply-chain security firewall : https://github.com/DataDog/supply-chain-firewall/

Harden-runner : https://docs.stepsecurity.io/harden-runner

The post Shai-Hulud appeared first on NoLimitSecu.

...more

More shows like NoLimitSecu

Le rendez-vous Tech - RDV Tech by NotPatrick

Le rendez-vous Tech - RDV Tech

41 Listeners

Tech Café by Guillaume Vendé

Tech Café

11 Listeners

Le rendez-vous Jeux - RDV Jeux by NotPatrick

Le rendez-vous Jeux - RDV Jeux

17 Listeners

Génération Do It Yourself by Matthieu Stefani | Orso Media

Génération Do It Yourself

109 Listeners

C dans l'air by France Télévisions

C dans l'air

134 Listeners

Le Collimateur by Alexandre Jubelin / Binge Audio

Le Collimateur

39 Listeners

C'est plus compliqué que ça by wave.audio

C'est plus compliqué que ça

8 Listeners

Cybersécurité All Day by Michael VIRGONE

Cybersécurité All Day

0 Listeners

Hack'n Speak by mpgn

Hack'n Speak

0 Listeners

Underscore_ by Micode

Underscore_

21 Listeners

Monde Numérique - Actu Tech by Jerome Colombain

Monde Numérique - Actu Tech

7 Listeners

Le monde de la cyber by Leslie Fornero

Le monde de la cyber

0 Listeners

RadioCSIRT - Edition Française by Marc Frédéric GOMEZ

RadioCSIRT - Edition Française

0 Listeners

Le code a changé by France Inter

Le code a changé

10 Listeners

Purple Voice by Nabil Diab / Raphaël Ellouz

Purple Voice

2 Listeners