Selon Arctic Wolf (blog), une campagne sophistiquée de type supply chain cible l’écosystème npm avec un malware auto-propagatif qui vole des identifiants développeur, clés cloud et tokens, puis se répand en empoisonnant d’autres packages.

Points clés

  • Type d’attaque : supply chain, malware auto-propagatif (worm), vol d’identifiants.
  • Impact : >180 packages npm compromis ; exfiltration de secrets et réédition de packages trojanisés.
  • Vecteurs : TruffleHog, GitHub Actions, tokens npm compromis, dépôts GitHub publics.

Chaîne d’attaque (résumé technique)

  1. Scan des hôtes et environnements CI pour des secrets via TruffleHog et des endpoints de métadonnées cloud.
  2. Création de dépôts GitHub publics nommés ‘Shai-Hulud’ pour déverser les données volées.
  3. Déploiement de workflows GitHub Actions malveillants pour collecter des secrets de dépôts.
  4. Usage de tokens npm compromis pour republier des packages trojanisés.
  5. Modification de la visibilité des dépôts et création de branches pour la persistance.

Éléments saillants et propagation

  • Démarrage de la campagne avec la compromission du package rxnt-authentication.
  • Exfiltration via des dépôts GitHub publics et utilisation de webhook.site pour confirmer la propagation.
  • Le malware s’auto-propage en injectant du code malveillant dans d’autres packages.

IOCs

  • Nommage de dépôts GitHub : ‘Shai-Hulud’.
  • Package initial compromis : rxnt-authentication.
  • Service de signalisation/confirmation : webhook.site.

TTPs (MITRE style)

  • Découverte/Collecte de credentials : scan de secrets avec TruffleHog ; interrogation des métadonnées cloud.
  • Exfiltration : dépôts GitHub publics dédiés ; workflows GitHub Actions pour aspirer des secrets.
  • Accès/Persistance : réédition de packages npm trojanisés avec tokens compromis ; modification de visibilité et création de branches.
  • Mouvement latéral/Propagation : injection de code dans d’autres packages (comportement de ver).

Le billet est une analyse de menace et un avertissement de sécurité visant à documenter le mode opératoire, l’impact et le périmètre des packages affectés.

🧠 TTPs et IOCs détectés

TTPs

Découverte/Collecte de credentials : scan de secrets avec TruffleHog ; interrogation des métadonnées cloud. Exfiltration : dépôts GitHub publics dédiés ; workflows GitHub Actions pour aspirer des secrets. Accès/Persistance : réédition de packages npm trojanisés avec tokens compromis ; modification de visibilité et création de branches. Mouvement latéral/Propagation : injection de code dans d’autres packages (comportement de ver).

IOCs

Nommage de dépôts GitHub : ‘Shai-Hulud’. Package initial compromis : rxnt-authentication. Service de signalisation/confirmation : webhook.site.

🔗 Source originale : https://arcticwolf.com/resources/blog/wormable-malware-causing-supply-chain-compromise-of-npm-code-packages/

🖴 Archive : https://web.archive.org/web/20250917121514/https://arcticwolf.com/resources/blog/wormable-malware-causing-supply-chain-compromise-of-npm-code-packages/