New Shai-Hulud malware wave compromises 600 npm packages

1 minute de lecture

Mis à jour : May 19, 2026

Vague d’attaques par supply-chain « Shai-Hulud » sur npm

Une campagne malveillante massive a compromis plus de 600 paquets sur le registre npm, ciblant principalement l’écosystème @antv. En utilisant des comptes mainteneurs piratés ou des jetons de publication volés, les attaquants injectent des charges utiles dérobant des secrets de développement et d’environnements CI/CD (GitHub, cloud, SSH, etc.).

Points clés :

Rapidité et ampleur : 639 versions malveillantes publiées en une heure.
Mécanisme d’exfiltration : Utilisation du réseau P2P Session pour échapper aux détections réseau classiques, complétée par la création automatique de dépôts GitHub pour héberger les données volées.
Tromperie avancée : Le malware est capable de générer de fausses attestations de provenance (Sigstore/SLSA), faisant apparaître les paquets comme légitimes et vérifiés.
Persistance : Au-delà de l’infection initiale, le malware installe des backdoors dans les configurations VS Code et Claude Code pour maintenir l’accès après nettoyage.
Vulnérabilité exploitée : Absence de configuration de “Trusted Publishing” (OIDC) sur les anciens paquets dormants, facilitant le détournement de comptes.

Vulnérabilités : Il n’existe pas de CVE spécifique, car l’attaque repose sur le détournement de comptes, de jetons d’authentification et l’abus de mécanismes de confiance (OIDC). La vulnérabilité réside dans la gestion des permissions de publication npm et le manque de sécurisation des pipelines CI/CD.

Recommandations :

Audit immédiat : Supprimer les versions compromises ou revenir à une version saine antérieure au 18 mai.
Rotation des secrets : Révoquer et renouveler immédiatement tous les jetons, clés SSH, secrets cloud, et identifiants GitHub/npm ayant pu être exposés.
Renforcement : Activer systématiquement la publication sécurisée via OpenID Connect (OIDC) pour limiter l’usage de jetons statiques.
Nettoyage complet : Vérifier les configurations de VS Code et des outils de développement (Claude Code) à la recherche de fichiers suspects ou de modifications non autorisées.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

New Shai-Hulud malware wave compromises 600 npm packages

Vague d’attaques par supply-chain « Shai-Hulud » sur npm

Partager sur

Vous pourriez aimer

Webworm Deploys EchoCreep and GraphWorm Backdoors Using Discord and MS Graph API

Webworm : Nouvelles techniques de dissimulation et backdoors via Discord et Microsoft Graph

Typosquatting Is No Longer a User Problem. Its a Supply Chain Problem

La nouvelle menace du Typosquatting : La chaîne d’approvisionnement logicielle compromise

On AI Security

Les défis de la sécurisation de l’IA

Microsoft Takes Down Malware-Signing Service Behind Ransomware Attacks

Démantèlement de l’opération de cybercriminalité « OpFauxSign »