Le CERT-FR a connaissance d’une vague de compromission de paquets NPM ayant débuté le 23 novembre 2025. En date du 26 novembre 2025, plus de 700 paquets ont été affectés. Ce nombre important est dû à l’auto-réplication du logiciel malveillant. Seules quelques versions de ces paquets, les plus récentes, ont été compromises. Plusieurs d’entre elles ont été supprimées par les développeurs par la suite.

…

Recommandations

En raison de l’évolution de la campagne, le CERT-FR recommande de :

• chercher les différents indicateurs de compromissions présentés dans les billets de blogue et en particulier le fichier bun_environment.js ;
• vérifier l’ensemble des paquets NPM installés et leurs versions et les comparer aux versions indiquées comme compromises.

Si cela est possible :

• geler temporairement la mise à jour des paquets NPM et utiliser des versions connues comme légitimes ;
• effectuer un redémarrage des machines susceptibles d’utiliser les paquets.

En cas de suspicion de compromission :

• désinstaller l’ensemble des paquets concernés ;
• vérifier l’intégrité des plateformes d’intégration continue et des potentiels paquets NPM maintenus ;
• effectuer une rotation de l’ensemble des secrets présents sur la machine. De plus les fiches réflexes relatives à la compromission système peuvent être consultées.