Leaked Shai-Hulud malware fuels new npm infostealer campaign

1 minute de lecture

Mis à jour : May 18, 2026

Propagation du malware Shai-Hulud via des paquets npm malveillants

Des acteurs malveillants exploitent le code source récemment divulgué du malware « Shai-Hulud » pour lancer une nouvelle campagne d’attaques sur le registre npm. En utilisant des techniques de typosquattage (noms de paquets proches de bibliothèques légitimes comme Axios), ces attaquants visent à dérober les identifiants de développeurs, les secrets de configuration, les données de portefeuilles de cryptomonnaies et les informations système.

Points clés :

Mode opératoire : Publication de quatre paquets malveillants sur npm par un compte unique (deadcode09284814). Le code est une copie directe du malware Shai-Hulud, sans obfuscation.
Capacités des logiciels malveillants : Outre l’exfiltration de données, l’un des paquets (axois-utils) transforme les machines infectées en nœuds pour un botnet capable de mener des attaques DDoS (HTTP, TCP, UDP).
Exfiltration : Les données volées sont envoyées vers un serveur de commande et de contrôle (C2) et automatiquement publiées sur des dépôts GitHub publics créés à la volée.
Impact : Environ 2 678 téléchargements ont été enregistrés pour ces quatre paquets.

Vulnérabilités :

Type : Attaque par empoisonnement de la chaîne d’approvisionnement logicielle (Supply Chain Attack).
CVE : Aucune CVE n’a été attribuée à ce stade spécifique pour ces paquets, car il s’agit d’une campagne de logiciels malveillants et non d’une faille logicielle intrinsèque.
Paquets identifiés : chalk-tempalte, @deadcode09284814/axios-util, axois-utils, color-style-utils.

Recommandations :

Suppression immédiate : Désinstaller sans délai tout paquet identifié ci-dessus si ces derniers ont été téléchargés.
Rotation des accès : Procéder à une rotation immédiate de tous les identifiants, secrets, clés d’API et jetons d’accès qui auraient pu être exposés sur les machines compromises.
Vigilance accrue : Vérifier systématiquement l’orthographe des paquets npm avant toute installation et auditer les dépendances pour détecter tout comportement suspect ou inhabituel.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Leaked Shai-Hulud malware fuels new npm infostealer campaign

Propagation du malware Shai-Hulud via des paquets npm malveillants

Partager sur

Vous pourriez aimer

Webworm Deploys EchoCreep and GraphWorm Backdoors Using Discord and MS Graph API

Webworm : Nouvelles techniques de dissimulation et backdoors via Discord et Microsoft Graph

Typosquatting Is No Longer a User Problem. Its a Supply Chain Problem

La nouvelle menace du Typosquatting : La chaîne d’approvisionnement logicielle compromise

On AI Security

Les défis de la sécurisation de l’IA

Microsoft Takes Down Malware-Signing Service Behind Ransomware Attacks

Démantèlement de l’opération de cybercriminalité « OpFauxSign »