{"id":158926,"date":"2025-11-25T10:50:32","date_gmt":"2025-11-25T18:50:32","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=158926"},"modified":"2025-12-04T06:51:14","modified_gmt":"2025-12-04T14:51:14","slug":"npm-supply-chain-attack","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/","title":{"rendered":"Attaque de la supply chain\u00a0: le ver \u00ab\u00a0Shai-Hulud\u00a0\u00bb frappe l\u2019\u00e9cosyst\u00e8me\u00a0npm (Mis \u00e0 jour le 26 novembre)"},"content":{"rendered":"<h2><b>Synth\u00e8se<\/b><\/h2>\n<h3><b>Mise \u00e0 jour : 25 novembre 2025<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Les chercheurs de Unit 42 ont enqu\u00eat\u00e9 sur une nouvelle compromission ciblant npm dans le cadre d'une campagne baptis\u00e9e Shai-Hulud 2.0. Cette menace a \u00e9t\u00e9 signal\u00e9e pour la premi\u00e8re fois d\u00e9but novembre 2025. La campagne actuelle est d'une ampleur consid\u00e9rablement plus vaste, affectant des dizaines de milliers de d\u00e9p\u00f4ts GitHub. Cela inclut plus de 25 000 d\u00e9p\u00f4ts malveillants r\u00e9partis sur environ 350 utilisateurs uniques.<\/span><\/p>\n<h4><b>Diff\u00e9rences notables dans les campagnes de novembre<\/b><\/h4>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">L'ex\u00e9cution durant la phase de pr\u00e9-installation a consid\u00e9rablement \u00e9largi la zone d'impact.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Cette campagne a introduit un m\u00e9canisme de repli (fallback) beaucoup plus agressif, qui peut tenter de d\u00e9truire le r\u00e9pertoire personnel (home directory) de l'utilisateur.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Les nouveaux fichiers de charge utile (payload) sont nomm\u00e9s <\/span><span style=\"font-weight: 400;\">setup_bun.js<\/span><span style=\"font-weight: 400;\"> et <\/span><span style=\"font-weight: 400;\">bun_environment.js<\/span><span style=\"font-weight: 400;\">.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Les identifiants et secrets vol\u00e9s sont exfiltr\u00e9s vers des d\u00e9p\u00f4ts GitHub publics portant la description : \"Sha1-Hulud: The Second Coming.\"<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">La campagne Shai-Hulud 2.0 repr\u00e9sente une escalade agressive dans les attaques de la cha\u00eene logistique logicielle, d\u00e9passant les m\u00e9thodes de son pr\u00e9d\u00e9cesseur en modifiant le point d'infection. En ciblant la phase de pr\u00e9-installation des d\u00e9pendances logicielles, le logiciel malveillant r\u00e9alise deux avanc\u00e9es majeures :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Il \u00e9limine compl\u00e8tement le besoin d'interaction humaine, garantissant l'ex\u00e9cution sur pratiquement tous les serveurs de build traitant le paquet infect\u00e9.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Il contourne efficacement les outils d'analyse statique qui inspectent le code lors des \u00e9tapes ult\u00e9rieures de la construction (build).<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Bien que cette menace se concentre toujours sur le vol d'identifiants cloud de haute valeur, elle peut \u00e9galement paralyser l'int\u00e9gralit\u00e9 du pipeline CI\/CD d'une entreprise. Cela pourrait perturber le d\u00e9veloppement et potentiellement verrouiller les syst\u00e8mes internes, faisant passer l'attaque d'un simple espionnage \u00e0 un \u00e9v\u00e9nement de d\u00e9ni de service hautement perturbateur.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Lisez la section \"Port\u00e9e actuelle de l'attaque\" pour plus de d\u00e9tails techniques.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">En septembre, Unit 42 a enqu\u00eat\u00e9 sur ce ver auto-r\u00e9pliquant in\u00e9dit sous le nom de \"Shai-Hulud\", responsable de la compromission de centaines de paquets logiciels.<\/span><\/p>\n<p>Cette attaque marque une \u00e9volution majeure des cybermenaces li\u00e9es \u00e0 la supply chain, en exploitant une propagation automatis\u00e9e pour agir \u00e0 grande \u00e9chelle. Unit\u00a042 estime \u00e9galement, avec un niveau de confiance mod\u00e9r\u00e9, qu\u2019un LLM a \u00e9t\u00e9 utilis\u00e9 pour g\u00e9n\u00e9rer le script bash malveillant, sur la base de commentaires et d\u2019emojis.<\/p>\n<p>Les clients de Palo\u00a0Alto Networks b\u00e9n\u00e9ficient d\u2019une meilleure protection et de mesures de d\u2019att\u00e9nuation contre diff\u00e9rents aspects de cette attaque gr\u00e2ce \u00e0 nos produits et services. Citons notamment\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/Cortex+CLOUD\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0Cloud<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/cloud\" target=\"_blank\" rel=\"noopener\">Prisma\u00a0Cloud<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> avec <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a><\/li>\n<\/ul>\n<p>L\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit 42 de r\u00e9ponse aux incidents<\/a> peut \u00e9galement intervenir en cas de compromission ou r\u00e9aliser une \u00e9valuation proactive afin de r\u00e9duire votre niveau de risque.<\/p>\n<table style=\"width: 99.7843%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Unit\u00a042 \u2013\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 169.169%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/supply-chain-fr\/\" target=\"_blank\" rel=\"noopener\"><b>Supply Chain<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/credential-harvesting-fr\/\" target=\"_blank\" rel=\"noopener\">Collecte d\u2019identifiants<\/a><\/strong>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/phishing-fr\/\" target=\"_blank\" rel=\"noopener\"><strong>Hame\u00e7onnage<\/strong>,<\/a> <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/javascript-fr\/\" target=\"_blank\" rel=\"noopener\"><b>JavaScript<\/b><\/a><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-158926-_heading=h.bgepmql82o7q\"><\/a>Paquets\u00a0npm et supply\u00a0chain \u2013\u00a0Le contexte<\/h2>\n<p>L\u2019attaque pourrait provenir d\u2019une campagne d\u2019hame\u00e7onnage visant \u00e0 collecter des identifiants, en usurpant l\u2019identit\u00e9 de npm et en demandant aux d\u00e9veloppeurs de \u00ab\u00a0mettre \u00e0 jour\u00a0\u00bb leurs options d\u2019authentification multifacteur (MFA). Une fois l\u2019acc\u00e8s initial obtenu, l\u2019acteur de la menace a d\u00e9ploy\u00e9 un payload malveillant op\u00e9rant comme un ver et d\u00e9clenchant une s\u00e9quence d\u2019attaque en plusieurs \u00e9tapes. Sur la base de commentaires et d\u2019emojis dans le script bash, Unit\u00a042 estime, avec un niveau de confiance mod\u00e9r\u00e9, que l\u2019acteur de la menace s\u2019est appuy\u00e9 sur un LLM pour l\u2019\u00e9criture du code malveillant.<\/p>\n<p>Les versions compromises des paquets logiciels contiennent un ver qui ex\u00e9cute un script post-installation. Ce malware explore l\u2019environnement infect\u00e9 \u00e0 la recherche d\u2019identifiants, notamment\u00a0:<\/p>\n<ul>\n<li>Les fichiers <span style=\"font-family: 'courier new', courier, monospace;\">.npmrc<\/span> (pour les jetons npm)<\/li>\n<li>Les variables d\u2019environnement et fichiers de configuration ciblant sp\u00e9cifiquement les GitHub Personal Access Tokens (PAT) et les cl\u00e9s API de services cloud tels que\u00a0:\n<ul>\n<li>Amazon\u00a0Web Services\u00a0(AWS)<\/li>\n<li>Google\u00a0Cloud Platform\u00a0(GCP)<\/li>\n<li>Microsoft\u00a0Azure<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Les mat\u00e9riels d'authentification r\u00e9colt\u00e9s sont exfiltr\u00e9s vers un terminal contr\u00f4l\u00e9 par l\u2019acteur. Le logiciel malveillant cr\u00e9e ensuite, de mani\u00e8re programmatique, un r\u00e9f\u00e9rentiel\u00a0GitHub public nomm\u00e9 \u00ab\u00a0Shai-Hulud\u00a0\u00bb sous le compte de la victime. Il effectue un commit contenant les secrets vol\u00e9s et les expose publiquement.<\/p>\n<p>En utilisant le jeton\u00a0npm d\u00e9rob\u00e9, le malware s\u2019authentifie aupr\u00e8s du registre\u00a0npm au nom du d\u00e9veloppeur compromis. Il identifie alors d\u2019autres paquets logiciels maintenus par ce d\u00e9veloppeur, y injecte du code malveillant et publie les nouvelles versions compromises sur le registre. Ce processus automatis\u00e9 permet au malware de se propager de fa\u00e7on exponentielle, sans intervention directe de l\u2019acteur.<\/p>\n<h2><b>Port\u00e9e actuelle de l'attaque<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">En date de novembre 2025, une nouvelle compromission ciblant npm est en cours dans une campagne baptis\u00e9e \"Shai-Hulud 2.0\".<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Ex\u00e9cution durant la pr\u00e9-installation (au lieu de la post-installation) :<\/b><span style=\"font-weight: 400;\"> Cela a consid\u00e9rablement \u00e9largi la zone d'impact sur les machines des d\u00e9veloppeurs et les pipelines d'int\u00e9gration et de d\u00e9ploiement continus (CI\/CD).<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Un m\u00e9canisme de repli beaucoup plus agressif :<\/b><span style=\"font-weight: 400;\"> Cela d\u00e9place les tactiques du simple vol de donn\u00e9es vers le sabotage punitif. Si le logiciel malveillant ne parvient pas \u00e0 voler des identifiants, obtenir des jetons ou s\u00e9curiser un canal d'exfiltration (c'est-\u00e0-dire s'il ne peut pas s'authentifier sur GitHub, cr\u00e9er un d\u00e9p\u00f4t ou trouver des jetons GitHub\/npm), il tente de d\u00e9truire l'int\u00e9gralit\u00e9 du r\u00e9pertoire personnel de la victime. Il le fait en \u00e9crasant et en supprimant de mani\u00e8re s\u00e9curis\u00e9e chaque fichier inscriptible appartenant \u00e0 l'utilisateur actuel dans son dossier personnel.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Nouveaux fichiers de charge utile :<\/b><span style=\"font-weight: 400;\"> Ceux-ci sont nomm\u00e9s <\/span><span style=\"font-weight: 400;\">setup_bun.js<\/span><span style=\"font-weight: 400;\"> et <\/span><span style=\"font-weight: 400;\">bun_environment.js<\/span><span style=\"font-weight: 400;\">. L'attaque se d\u00e9guise en un installateur Bun utile. La charge utile principale, <\/span><span style=\"font-weight: 400;\">bun_environment.js<\/span><span style=\"font-weight: 400;\">, est un fichier massif (plus de 10 Mo) qui utilise des techniques d'obfuscation extr\u00eames. Il retarde l'ex\u00e9cution compl\u00e8te sur les machines des d\u00e9veloppeurs en se dupliquant (fork) dans un processus d'arri\u00e8re-plan d\u00e9tach\u00e9. Cela permet au processus d'installation original de se terminer proprement, donnant \u00e0 l'utilisateur l'illusion d'une installation normale.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Sha1-Hulud :<\/b><span style=\"font-weight: 400;\"> Les identifiants et secrets vol\u00e9s sont exfiltr\u00e9s vers des d\u00e9p\u00f4ts GitHub publics avec la description de d\u00e9p\u00f4t : \"Sha1-Hulud: The Second Coming.\" Il tente \u00e9galement d'\u00e9tablir une persistance en cr\u00e9ant un fichier de workflow GitHub Actions nomm\u00e9 <\/span><span style=\"font-weight: 400;\">discussion.yaml<\/span><span style=\"font-weight: 400;\">. Ce workflow enregistre la machine infect\u00e9e comme un runner auto-h\u00e9berg\u00e9 (self-hosted runner) et permet aux attaquants d'ex\u00e9cuter des commandes arbitraires en ouvrant des discussions GitHub.<\/span><\/li>\n<\/ul>\n<h2><b>Port\u00e9e de l'attaque avant novembre 2025<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">L'ampleur de la compromission est vaste, impactant de nombreux paquets, y compris la biblioth\u00e8que largement utilis\u00e9e <\/span><span style=\"font-weight: 400;\">@ctrl\/tinycolor<\/span><span style=\"font-weight: 400;\">, qui re\u00e7oit des millions de t\u00e9l\u00e9chargements hebdomadaires.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Le vol d'identifiants issu de cette campagne peut mener directement \u00e0 la compromission de services cloud (tels qu'AWS, Azure, GCP), entra\u00eenant le vol de donn\u00e9es depuis des buckets de stockage, le d\u00e9ploiement de ran\u00e7ongiciels (ransomware), le cryptominage ou la suppression d'environnements de production. Cela peut \u00e9galement conduire au vol direct de bases de donn\u00e9es et au d\u00e9tournement de services tiers pour du hame\u00e7onnage (phishing). De plus, les cl\u00e9s SSH vol\u00e9es peuvent permettre un d\u00e9placement lat\u00e9ral au sein des r\u00e9seaux compromis.<\/span><\/p>\n<h2><a id=\"post-158926-_heading=h.ndm65x8jr4v8\"><\/a>Recommandations provisoires<\/h2>\n<ol>\n<li>Rotation des identifiants\u00a0: proc\u00e9dez imm\u00e9diatement \u00e0 la rotation de tous les identifiants d\u00e9veloppeur. Cela inclut les jetons d\u2019acc\u00e8s\u00a0npm, les GitHub Personal Access Tokens (PAT), les cl\u00e9s\u00a0SSH ainsi que toutes les cl\u00e9s d\u2019acc\u00e8s programmatiques utilis\u00e9es pour les services cloud et tiers. Consid\u00e9rez que tout secret pr\u00e9sent sur la machine d\u2019un d\u00e9veloppeur a pu \u00eatre compromis.<\/li>\n<li>Audit des d\u00e9pendances\u00a0: r\u00e9alisez sans d\u00e9lai un audit complet de toutes les d\u00e9pendances de vos projets. Utilisez des outils comme npm audit pour identifier les versions de paquets logiciels vuln\u00e9rables. V\u00e9rifiez avec attention vos fichiers <span style=\"font-family: 'courier new', courier, monospace;\">package-lock.json<\/span> ou <span style=\"font-family: 'courier new', courier, monospace;\">yarn.lock<\/span> et assurez-vous que vous n\u2019utilisez pas de paquets logiciels d\u00e9j\u00e0 compromis. Supprimez ou mettez \u00e0 jour les d\u00e9pendances affect\u00e9es imm\u00e9diatement.<\/li>\n<li>Revue de la s\u00e9curit\u00e9 des comptes GitHub\u00a0: chaque d\u00e9veloppeur doit v\u00e9rifier son compte\u00a0GitHub afin de d\u00e9tecter la pr\u00e9sence de r\u00e9f\u00e9rentiels publics non reconnus (en particulier \u00ab\u00a0Shai-Hulud\u00a0\u00bb), de commits suspects ou de modifications inattendues dans les workflows GitHub\u00a0Actions susceptibles d\u2019\u00e9tablir une persistance.<\/li>\n<li>Application stricte du MFA\u00a0: assurez-vous que l\u2019authentification MFA soit strictement appliqu\u00e9e sur tous les comptes d\u00e9veloppeur, en particulier sur les plateformes critiques telles que GitHub et npm, afin d\u2019\u00e9viter toute exploitation des identifiants.<\/li>\n<\/ol>\n<h2><a id=\"post-158926-_heading=h.jfcjrn9qi230\"><\/a>Requ\u00eates de chasse aux menaces d\u2019Unit\u00a042<\/h2>\n<pre class=\"lang:default decode:true\">\/\/ Description: Check for connections to any webhook.site domains in raw NGFW URL logs. Optional filter for specific URI observed in use by threat actor.\r\n\r\ndataset = panw_ngfw_url_raw\r\n\r\n| filter lowercase(url_domain) contains \"webhook.site\"\r\n\r\n| alter susp_uri = if(uri contains \"bb8ca5f6-4175-45d2-b042-fc9ebb8170b7\")\r\n\r\n\/\/ Optional filter:\r\n\r\n\/\/ | filter susp_uri = true\r\n\r\n| fields url_domain, uri, susp_uri, *<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: Check for connections to any webhook.site domains in XDR telemetry. Optional filter for specific URI observed in use by threat actor.\r\n\r\ndataset = xdr_data\r\n\r\n| filter event_type = STORY\r\n\r\n| filter lowercase(dst_action_external_hostname) contains \"webhook.site\" or lowercase(dns_query_name) contains \"webhook.site\"\r\n\r\n| fields agent_hostname, dst_action_external_hostname, dns_query_name<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: Detect malicious YAML file\r\n\r\ndataset = xdr_data\r\n\r\n| filter event_type = FILE and action_file_name = \"shai-hulud-workflow.yml\" and agent_os_type in (ENUM.AGENT_OS_MAC, ENUM.AGENT_OS_LINUX)\r\n\r\n| fields agent_hostname, actor_effective_username, action_file_name, action_file_path, actor_process_image_name, actor_process_command_line<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: Detects Trufflehog usage. Legitimate tool abused by threat actor for secrets discovery. False positives may occur if there is legitimate use.\r\n\r\ndataset = xdr_data\r\n\r\n| filter event_type = PROCESS and lowercase(action_process_image_command_line) contains \"trufflehog\"\r\n\r\n| fields agent_hostname, actor_effective_username, actor_process_command_line, action_process_image_command_line<\/pre>\n<h3>Requ\u00eates mises \u00e0 jour pour la campagne de novembre 2025<\/h3>\n<pre class=\"lang:default decode:true\">\/\/ Description: Detect malicious bundle.js, bun_environment.js, and setup_bun.js files\r\npreset = xdr_file \r\n| fields agent_hostname, action_file_name, action_file_path, event_type, event_sub_type, actor_process_image_name, actor_process_command_line, action_file_sha256\r\n| filter event_type = ENUM.FILE\r\n| filter action_file_sha256 = \"46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09\" \/\/ bundle.js from September 2025 attack\r\n    or action_file_sha256 in (\"62ee164b9b306250c1172583f138c9614139264f889fa99614903c12755468d0\", \"f099c5d9ec417d4445a0328ac0ada9cde79fc37410914103ae9c609cbc0ee068\", \"cbb9bc5a8496243e02f3cc080efbe3e4a1430ba0671f2e43a202bf45b05479cd\") \/\/ bun_environment.js from November 2025 attack\r\n    or action_file_sha256 = \"a3894003ad1d293ba96d77881ccd2071446dc3f65f434669b49b3da92421901a\" \/\/ setup_bun.js from November 2025 attack<\/pre>\n<pre class=\"lang:default decode:true \">\/\/ Description: Detects the unique SHA1HULUD string used in runner creation\r\npreset = xdr_process\r\n| fields agent_hostname, actor_effective_username, action_process_image_name, action_process_image_path, action_process_image_command_line, actor_process_image_name, actor_process_image_path, actor_process_command_line, agent_os_type, event_type, event_sub_type\r\n| filter event_type = ENUM.PROCESS\r\n    and event_sub_type = ENUM.PROCESS_START\r\n| filter action_process_image_command_line contains \" --name SHA1HULUD\"\r\n<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: Detects an extremely large (&gt;=9MB) bun_environment.js file. False positives are possible, be sure to check action_file_path for the package name and version of any hits. \r\npreset = xdr_file\r\n| fields agent_hostname, action_file_name, action_file_path, action_file_size, event_type, event_sub_type, actor_process_image_name, actor_process_command_line, action_file_sha256\r\n| filter event_type = ENUM.FILE \r\n    and event_sub_type = ENUM.FILE_WRITE\r\n| filter action_file_name = \"bun_environment.js\"\r\n    and action_file_size &gt;= 9437184<\/pre>\n<h2><a id=\"post-158926-_heading=h.5357dggl2w9v\"><\/a>Conclusion<\/h2>\n<p>Le ver\u00a0Shai-Hulud marque une escalade majeure dans la s\u00e9rie d\u2019attaques\u00a0npm qui ciblent la communaut\u00e9 open\u00a0source. Il fait suite \u00e0 des incidents r\u00e9cents tels que la compromission de s1ngularity\/Nx, impliquant le vol d\u2019identifiants et l\u2019exposition de r\u00e9f\u00e9rentiels priv\u00e9s, ainsi qu\u2019une vaste campagne d\u2019hame\u00e7onnage\u00a0npm observ\u00e9e en septembre\u00a02024.<\/p>\n<p>Son caract\u00e8re auto-r\u00e9plicatif est particuli\u00e8rement remarquable, puisqu\u2019il combine efficacement le vol d\u2019identifiants avec un m\u00e9canisme de diffusion automatis\u00e9e qui exploite les droits de publication existants des mainteneurs pour se propager dans l\u2019\u00e9cosyst\u00e8me. Nous avons en outre observ\u00e9 l\u2019int\u00e9gration de contenus g\u00e9n\u00e9r\u00e9s par IA dans la campagne Shai-Hulud, une \u00e9volution qui fait \u00e9cho \u00e0 l\u2019attaque\u00a0\u00ab\u00a0s1ngularity\/Nx\u00a0\u00bb, qui utilisait clairement des outils en ligne de commande boost\u00e9s par l\u2019IA \u00e0 des fins de reconnaissance. Ce ph\u00e9nom\u00e8ne illustre la menace croissante que repr\u00e9sentent les acteurs malveillants exploitant l\u2019IA pour leurs activit\u00e9s, ce qui acc\u00e9l\u00e8re la diss\u00e9mination des secrets.<\/p>\n<p>La constance et le raffinement de ces m\u00e9thodologies d\u2019attaque soulignent la menace grandissante qui p\u00e8se sur les supply\u00a0chains logicielles open\u00a0source. Ces attaques se propagent d\u00e9sormais au rythme de l\u2019int\u00e9gration et du d\u00e9ploiement continus (CI\/CD), posant des d\u00e9fis de s\u00e9curit\u00e9 durables et de plus en plus complexes pour l\u2019ensemble de l\u2019\u00e9cosyst\u00e8me.<\/p>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ses conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\/\">Cyber\u00a0Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-158926-_heading=h.mggzmf11837o\"><\/a>Protections et d\u00e9tections de Palo\u00a0Alto Networks contre les attaques de la supply\u00a0chain visant les paquets\u00a0npm<\/h2>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks peuvent s\u2019appuyer sur un large \u00e9ventail de protections, de services et de mises \u00e0 jour int\u00e9gr\u00e9s aux produits pour identifier et contrer cette menace.<\/p>\n<p>Vous pensez que votre entreprise a \u00e9t\u00e9 compromise\u00a0? Vous devez faire face \u00e0 une urgence\u00a0? Contactez <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">l\u2019\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Num\u00e9ro gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 000 800 050 45107<\/li>\n<\/ul>\n<h3><a id=\"post-158926-_heading=h.wllc55mwugbq\"><\/a>Advanced\u00a0WildFire<\/h3>\n<p>Les mod\u00e8les de Machine\u00a0Learning d\u2019<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a> ont \u00e9t\u00e9 mis \u00e0 jour sur la base des indicateurs de compromission (IoC) associ\u00e9s \u00e0 cette menace.<\/p>\n<h3><a id=\"post-158926-_heading=h.7iis6iat4k5o\"><\/a>Pare-feux de nouvelle g\u00e9n\u00e9ration avec pr\u00e9vention avanc\u00e9e des menaces<\/h3>\n<p>Le pare-feu de nouvelle g\u00e9n\u00e9ration (<a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> ), avec l'abonnement de s\u00e9curit\u00e9 <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a> , peut aider \u00e0 bloquer l'attaque via la signature de pr\u00e9vention des menaces suivante : <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?q=87042\" target=\"_blank\" rel=\"noopener\">87042<\/a>, <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?q=87046\" target=\"_blank\" rel=\"noopener\">87046<\/a> et <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?q=87047\" target=\"_blank\" rel=\"noopener\">87047<\/a>.<\/p>\n<h3><a id=\"post-158926-_heading=h.3d4dcm7pxl8h\"><\/a>Services de s\u00e9curit\u00e9 cloud pour le pare-feu de nouvelle g\u00e9n\u00e9ration<\/h3>\n<p><a id=\"post-158926-_heading=h.c8kfdslanjff\"><\/a>Le service <a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\">Advanced URL Filtering<\/a> aide \u00e0 bloquer les attaques de phishing de type meddler-in-the-middle (MitM) et classe comme malveillantes les URL associ\u00e9es \u00e0 cette activit\u00e9.<\/p>\n<h3><a id=\"post-158926-_heading=h.dg5jmssidp1t\"><\/a>Cortex\u00a0Cloud<\/h3>\n<p><span style=\"font-weight: 400;\">Cortex Cloud offre des capacit\u00e9s \u00e9tendues d'ASPM (Application Security Posture Management) et de s\u00e9curit\u00e9 de la cha\u00eene logistique pour aider \u00e0 identifier les vuln\u00e9rabilit\u00e9s et les mauvaises configurations exploit\u00e9es par Shai-Hulud. Avec une visibilit\u00e9 SBOM en temps r\u00e9el, les \u00e9quipes peuvent interroger instantan\u00e9ment leur inventaire pour y rechercher des paquets npm malveillants connus. Le mod\u00e8le de risque op\u00e9rationnel de la plateforme ajoute une couche de d\u00e9fense suppl\u00e9mentaire en \u00e9valuant les composants open source bas\u00e9s sur l'activit\u00e9 des mainteneurs, les signaux d'obsolescence et la sant\u00e9 de la communaut\u00e9 pour signaler les paquets \u00e0 risque, m\u00eame en l'absence de CVE publi\u00e9es.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Pour durcir les pipelines, Cortex Cloud fournit des r\u00e8gles CI\/CD pr\u00eates \u00e0 l'emploi align\u00e9es sur les recommandations de l'OWASP et du CIS, incluant des v\u00e9rifications pour les fichiers de verrouillage npm manquants (<\/span><span style=\"font-weight: 400;\">package-lock.json<\/span><span style=\"font-weight: 400;\">), l'utilisation non s\u00e9curis\u00e9e de \u00ab npm install \u00bb, les paquets sourc\u00e9s via git sans hachage de commit, et les d\u00e9pendances inutilis\u00e9es qui \u00e9tendent la surface d'attaque.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Puisque la publication des CVE a souvent un temps de retard sur les attaques actives, il est critique de revoir et de v\u00e9rifier que vos applications ne d\u00e9pendent pas de versions de paquets npm non sanctionn\u00e9es. Ensemble, ces contr\u00f4les aident \u00e0 garantir que les versions malveillantes ne peuvent pas s'infiltrer silencieusement dans les builds ou persister dans votre environnement.<\/span><\/p>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/Cortex+CLOUD\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0Cloud<\/a> a publi\u00e9 un article de blog d\u00e9taill\u00e9 d\u00e9crivant <a href=\"https:\/\/www.paloaltonetworks.com\/blog\/cloud-security\/npm-supply-chain-attack\/\" target=\"_blank\" rel=\"noopener\">comment la plateforme peut \u00eatre utilis\u00e9e pour d\u00e9tecter et pr\u00e9venir les attaques de la supply\u00a0chain<\/a>.<\/p>\n<h3><a id=\"post-158926-_heading=h.hhg75pvieaxf\"><\/a>Prisma\u00a0Cloud<\/h3>\n<p><a id=\"post-158926-_heading=h.wcvtt4cila1s\"><\/a><a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/cloud\" target=\"_blank\" rel=\"noopener\">Prisma\u00a0Cloud<\/a> contribue \u00e0 d\u00e9tecter l\u2019utilisation de paquets logiciels malveillants et \u00e0 identifier des configurations erron\u00e9es dans les pipelines susceptibles d\u2019exposer les clients \u00e0 des versions\u00a0OSS non test\u00e9es ou non autoris\u00e9es. Toutefois, son scanner est con\u00e7u pour rep\u00e9rer les vuln\u00e9rabilit\u00e9s, les probl\u00e8mes de licence et les risques op\u00e9rationnels, et non pour d\u00e9tecter du code malveillant dans de nouveaux paquets logiciels. Il est donc essentiel d\u2019examiner attentivement les alertes\u00a0CI\/CD pertinentes et de s\u2019assurer que vos applications n\u2019utilisent pas de versions non autoris\u00e9es de paquets\u00a0npm.<\/p>\n<h2><a id=\"post-158926-_heading=h.ic7xxmxa4qrn\"><\/a>Indicateurs de compromission<\/h2>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b74caeaa75e077c99f7d44f46daaf9796a3be43ecf24f2a1fd381844669da777<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dc67467a39b70d1cd4c1f7f7a459b35058163592f4a9e8fb4dffcbba98ef210c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4b2399646573bb737c4969563303d8ee2e9ddbd1b271f1ca9e35ea78062538db<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps:\/\/webhook[.]site\/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-158926-_heading=h.9fh26gfl87kl\"><\/a>Pour aller plus loin<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/blog\/cloud-security\/npm-supply-chain-attack\/\" target=\"_blank\" rel=\"noopener\">Breakdown: Widespread npm Supply Chain Attack Puts Billions of Weekly Downloads at Risk<\/a> \u2013 Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.stepsecurity.io\/blog\/sha1-hulud-the-second-coming-zapier-ens-domains-and-other-prominent-npm-packages-compromised\" target=\"_blank\" rel=\"noopener\">Sha1-Hulud: The Second Coming - Zapier, ENS Domains, and Other Prominent NPM Packages Compromised<\/a> \u2013 StepSecurity<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/blog\/cloud-security\/npm-supply-chain-attack\/\" target=\"_blank\" rel=\"noopener\">D\u00e9cryptage\u00a0: une attaque massive contre la supply\u00a0chain\u00a0npm met en p\u00e9ril des milliards de t\u00e9l\u00e9chargements hebdomadaires<\/a> \u2013\u00a0Palo\u00a0Alto Networks<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Le ver auto-r\u00e9plicatif \u00ab Shai-Hulud \u00bb a compromis plus de 180 paquets logiciels lors d\u2019une attaque de la supply chain visant l\u2019\u00e9cosyst\u00e8me npm. Nous pr\u00e9sentons ici l\u2019\u00e9tendue de la campagne et d\u2019autres \u00e9l\u00e9ments d\u2019analyse.<\/p>\n","protected":false},"author":23,"featured_media":157754,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8787,8769],"tags":[9544,9438,9553,9266,9515],"product_categories":[8965,8979,8955,9005,9041,9046,9053,9064,9083,9015,9151],"coauthors":[1025],"class_list":["post-158926","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware-fr","category-top-cyberthreats-fr","tag-cloud-security-fr","tag-credential-harvesting-fr","tag-javascript-fr","tag-phishing-fr","tag-supply-chain-fr","product_categories-advanced-threat-prevention-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-code-to-cloud-platform-fr","product_categories-cortex-fr","product_categories-cortex-cloud-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-next-generation-firewall-fr","product_categories-prisma-cloud-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Attaque de la supply chain\u00a0: le ver \u00ab\u00a0Shai-Hulud\u00a0\u00bb frappe l\u2019\u00e9cosyst\u00e8me\u00a0npm (Mis \u00e0 jour le 26 novembre)<\/title>\n<meta name=\"description\" content=\"Le ver auto-r\u00e9plicatif \u00ab Shai-Hulud \u00bb a compromis plus de 180 paquets logiciels lors d\u2019une attaque de la supply chain visant l\u2019\u00e9cosyst\u00e8me npm. Nous pr\u00e9sentons ici l\u2019\u00e9tendue de la campagne et d\u2019autres \u00e9l\u00e9ments d\u2019analyse.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Attaque de la supply chain\u00a0: le ver \u00ab\u00a0Shai-Hulud\u00a0\u00bb frappe l\u2019\u00e9cosyst\u00e8me\u00a0npm (Mis \u00e0 jour le 26 novembre)\" \/>\n<meta property=\"og:description\" content=\"Le ver auto-r\u00e9plicatif \u00ab Shai-Hulud \u00bb a compromis plus de 180 paquets logiciels lors d\u2019une attaque de la supply chain visant l\u2019\u00e9cosyst\u00e8me npm. Nous pr\u00e9sentons ici l\u2019\u00e9tendue de la campagne et d\u2019autres \u00e9l\u00e9ments d\u2019analyse.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-11-25T18:50:32+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-12-04T14:51:14+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Malware_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Attaque de la supply chain\u00a0: le ver \u00ab\u00a0Shai-Hulud\u00a0\u00bb frappe l\u2019\u00e9cosyst\u00e8me\u00a0npm (Mis \u00e0 jour le 26 novembre)","description":"Le ver auto-r\u00e9plicatif \u00ab Shai-Hulud \u00bb a compromis plus de 180 paquets logiciels lors d\u2019une attaque de la supply chain visant l\u2019\u00e9cosyst\u00e8me npm. Nous pr\u00e9sentons ici l\u2019\u00e9tendue de la campagne et d\u2019autres \u00e9l\u00e9ments d\u2019analyse.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/","og_locale":"fr_FR","og_type":"article","og_title":"Attaque de la supply chain\u00a0: le ver \u00ab\u00a0Shai-Hulud\u00a0\u00bb frappe l\u2019\u00e9cosyst\u00e8me\u00a0npm (Mis \u00e0 jour le 26 novembre)","og_description":"Le ver auto-r\u00e9plicatif \u00ab Shai-Hulud \u00bb a compromis plus de 180 paquets logiciels lors d\u2019une attaque de la supply chain visant l\u2019\u00e9cosyst\u00e8me npm. Nous pr\u00e9sentons ici l\u2019\u00e9tendue de la campagne et d\u2019autres \u00e9l\u00e9ments d\u2019analyse.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/","og_site_name":"Unit 42","article_published_time":"2025-11-25T18:50:32+00:00","article_modified_time":"2025-12-04T14:51:14+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Malware_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Attaque de la supply chain\u00a0: le ver \u00ab\u00a0Shai-Hulud\u00a0\u00bb frappe l\u2019\u00e9cosyst\u00e8me\u00a0npm (Mis \u00e0 jour le 26 novembre)","datePublished":"2025-11-25T18:50:32+00:00","dateModified":"2025-12-04T14:51:14+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/"},"wordCount":2604,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Malware_Category_1920x900.jpg","keywords":["Cloud Security","Credential Harvesting","JavaScript","phishing","supply chain"],"articleSection":["Malware","Menaces de grande envergure"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/","name":"Attaque de la supply chain\u00a0: le ver \u00ab\u00a0Shai-Hulud\u00a0\u00bb frappe l\u2019\u00e9cosyst\u00e8me\u00a0npm (Mis \u00e0 jour le 26 novembre)","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Malware_Category_1920x900.jpg","datePublished":"2025-11-25T18:50:32+00:00","dateModified":"2025-12-04T14:51:14+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"Le ver auto-r\u00e9plicatif \u00ab Shai-Hulud \u00bb a compromis plus de 180 paquets logiciels lors d\u2019une attaque de la supply chain visant l\u2019\u00e9cosyst\u00e8me npm. Nous pr\u00e9sentons ici l\u2019\u00e9tendue de la campagne et d\u2019autres \u00e9l\u00e9ments d\u2019analyse.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Malware_Category_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Malware_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of the npm packages supply chain attack. A blurred image focusing on a person typing on a laptop with lines of code visible on the screen, illuminated in blue and red lights, suggestive of intense coding or cyber activities."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/npm-supply-chain-attack\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Attaque de la supply chain\u00a0: le ver \u00ab\u00a0Shai-Hulud\u00a0\u00bb frappe l\u2019\u00e9cosyst\u00e8me\u00a0npm (Mis \u00e0 jour le 26 novembre)"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Unit 42"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/158926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=158926"}],"version-history":[{"count":5,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/158926\/revisions"}],"predecessor-version":[{"id":167616,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/158926\/revisions\/167616"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/157754"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=158926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=158926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=158926"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=158926"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=158926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}