Shai-Hulud malware infects 500 npm packages, leaks secrets on GitHub
Mis à jour :
Nouveau malware Shai-Hulud : près de 500 paquets npm compromis, fuite de secrets sur GitHub
Une campagne de chaîne d’approvisionnement, baptisée Shai-Hulud, a infecté près de 500 paquets du registre npm, visant à voler des informations sensibles de développeurs et de systèmes d’intégration continue/déploiement continu (CI/CD). Les secrets dérobés sont ensuite automatiquement publiés sur GitHub sous forme encodée. Les chercheurs ont constaté une augmentation rapide du nombre de paquets malveillants et de dépôts GitHub contenant des informations compromises, avec plus de 27 000 résultats sur GitHub au moment de la publication.
Points clés :
- Plus de 492 paquets npm ont été infectés par le malware Shai-Hulud.
- Les informations volées sont publiées sur GitHub dans des dépôts avec la description “Sha1-Hulud: The Second Coming”.
- Le malware utilise des techniques d’obfuscation avancées et des scripts malveillants intégrés dans les fichiers
package.json. - Une nouvelle variante inclut une fonction destructive qui efface le répertoire personnel de la victime sous certaines conditions.
- Des paquets populaires comme Zapier, ENS Domains, PostHog et Postman ont été ciblés.
Vulnérabilités et Exploits :
- Type d’attaque : Chaîne d’approvisionnement, empoisonnement de dépôt (typo-squatting ou compromission de comptes mainteneurs).
- Impact : Vol de secrets (tokens GitHub, npm, clés cloud AWS, GCP, Azure), destruction de données (effacement du répertoire personnel).
- CVEs : Aucune CVE spécifique n’est mentionnée dans l’article pour cette campagne.
Recommandations :
- Identification et remplacement : Identifier les paquets npm compromis et les remplacer par des versions légitimes. Les développeurs sont invités à consulter la liste des paquets infectés fournie par Aikido Security.
- Rotation des secrets : Changer immédiatement tous les identifiants liés à npm, GitHub et aux fournisseurs de cloud.
- Désactivation des scripts post-installation : Si possible, désactiver les scripts
postinstalldes paquets npm lors des processus d’intégration continue. - Veille de sécurité : Rester vigilant face aux nouvelles menaces et aux mises à jour des plateformes comme npm et GitHub.
- Sécurisation des comptes : Mettre en place l’authentification à deux facteurs (2FA) et utiliser des jetons d’accès (access tokens) pour les interactions avec GitHub.