Le ver Shai-Hulud (nommé d’après les vers géants de Dune) représente l’une des attaques les plus sophistiquées de la “Supply Chain” logicielle moderne. Découvert initialement en septembre 2024 puis réapparu dans une version 2.0 en novembre 2025, ce malware auto-réplicatif a compromis des dizaines de milliers de dépôts GitHub et des centaines de paquets npm, dont le très populaire @ctrl/tinycolor.
Cette attaque combine vol de credentials, propagation automatisée et, dans sa version 2.0, un mécanisme destructif sans précédent.
J’ai décidé de décortiquer cette menace à travers une série de 4 articles techniques pour vous aider à protéger vos pipelines Jenkins et Artifactory.
📢 Dans cette série : “L’anatomie du ver Shai-Hulud”
Pourquoi Shai-Hulud change la donne ?
Contrairement à un simple malware de vol de données, Shai-Hulud est un ver. Il utilise les privilèges des développeurs infectés pour se propager à d’autres projets, créant un effet boule de neige dévastateur dans l’écosystème open-source.
Dans les prochains volets, nous verrons comment il s’infiltre, comment le modéliser pour mieux s’en défendre, et enfin, quelles mesures concrètes mettre en place dans votre infrastructure.
Références initiales :