NoLimitSecu Shai-Hulud
Mar 8, 2026
Christophe Tafani-Dereeper, ingénieur cloud chez Datadog spécialisé en sécurité des conteneurs et de la chaîne d’approvisionnement logicielle. Il parle des vers NPM récents et de Shai-Hulud, comment ils collectent et exfiltrent des secrets. Discussion sur la compromission de mainteneurs, la propagation via postinstall et les mesures pratiques pour durcir pipelines et gérer les identifiants.
AI Snips
Chapters
Transcript
Episode notes
Exfiltration Publique Via Dépôts GitHub
- Shai‑Hulud exfiltre les secrets différemment en créant des dépôts GitHub publics nommés ShaiHulud contenant data.json encodé en base64.
- L'exfiltration via dépôts publics rend les secrets immédiatement accessibles et réutilisables par n'importe qui.
Compromission Du Paquet Populaire Tinycolor
- Le paquet tinycolor (ctrl tiny color) a été compromis et servi pendant ~7-8 heures, exposant des millions de téléchargements hebdomadaires à la malveillance.
- Christophe mentionne ~500 paquets compromis au total et des dépôts privés rendus publics pendant plusieurs heures/jours.
Réduire La Durée De Vie Des Jetons Et Utiliser Authentifiants Phishing‑Safe
- Évitez les jetons NPM à longue durée de vie et utilisez une authentification résistante au phishing comme YubiKey ou WebAuthn.
- Christophe recommande Hosted Publisher pour générer des jetons temporaires lors des publications.
