Selon HelixGuard Team (24/11/2025), une campagne coordonnée a empoisonné en quelques heures plus de 300 composants NPM via de faux ajouts liés au runtime Bun, entraînant le vol de secrets et une propagation de type ver affectant plus de 27 000 dépôts GitHub. L’attaque repose sur l’injection d’un script NPM preinstall pointant vers setup_bun.js, qui exécute un fichier hautement obfusqué bun_environment.js (>10 Mo). Ce dernier collecte des secrets (tokens NPM, identifiants AWS/GCP/Azure, GitHub, variables d’environnement) et lance TruffleHog pour étendre la collecte.

Selon HelixGuard Team (24/11/2025), une campagne coordonnée a empoisonné en quelques heures plus de 300 composants NPM via de faux ajouts liés au runtime Bun, entraînant le vol de secrets et une propagation de type ver affectant plus de 27 000 dépôts GitHub.

L’attaque repose sur l’injection d’un script NPM preinstall pointant vers setup_bun.js, qui exécute un fichier hautement obfusqué bun_environment.js (>10 Mo). Ce dernier collecte des secrets (tokens NPM, identifiants AWS/GCP/Azure, GitHub, variables d’environnement) et lance TruffleHog pour étendre la collecte.

L’exfiltration s’effectue via GitHub Actions : création d’un runner baptisé SHA1HULUD et d’un dépôt GitHub avec la description « Sha1-Hulud: The Second Coming. ». Un workflow malveillant .github/workflows/formatter_123456789.yml empaquette les secrets en actionsSecrets.json (double encodage Base64). L’article indique que le mode opératoire évoque l’attaque « Shai-Hulud » observée en septembre 2025.

Le malware modifie le package.json, injecte setup_bun.js et bun_environment.js, reconditionne le composant, puis exécute npm publish avec des tokens volés, réalisant une propagation de type ver. Le code inclut une logique multi‑plateforme et télécharge des binaires d’actions-runner (ex. actions-runner-*-2.330.0).

🔗 Source originale : https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24

🔗 Dans les news infosec: https://cybersecuritynews.com/zapiers-npm-account-compromised/