Selon KrebsOnSecurity (Brian Krebs, 16 septembre 2025), une campagne visant l’écosystème NPM a vu l’émergence de Shai-Hulud, un ver auto-propagatif qui vole des identifiants (tokens NPM, clés cloud, etc.) et exfiltre ces secrets en les publiant dans des dépôts GitHub publics. Au moins 187 paquets NPM ont été touchés, dont des paquets liés à CrowdStrike (rapidement retirés par le registre NPM).
Le ver recherche un token NPM dans l’environnement lors de l’installation d’un paquet compromis. S’il en trouve, il modifie les 20 paquets les plus populaires accessibles avec ce token, s’y copie puis publie de nouvelles versions, déclenchant une propagation en chaîne. Il utilise l’outil open source TruffleHog pour détecter des secrets (GitHub, NPM, AWS, Azure, GCP, SSH, API), tente de créer de nouvelles GitHub Actions et publie les données volées. Le design cible Linux/macOS et ignore Windows.
Des acteurs avaient mené peu avant une campagne de phishing usurpant NPM pour pousser des « mises à jour » MFA, menant à l’injection de malware dans au moins deux douzaines de paquets (axés sur le siphonnage de cryptomonnaies). Fin août, un compromis distinct du projet nx avait inséré un code collectant des tokens (GitHub, NPM, SSH, API) et les publiant aussi dans un dépôt GitHub public du compte victime, mais sans auto-propagation.
D’après Aikido et StepSecurity, la première altération liée à Shai-Hulud remonte au 14 sept. vers 17:58 UTC. La propagation se poursuit mais ralentit; l’URL d’exfiltration utilisée a été désactivée par limites de taux. Socket.dev indique qu’au moins 25 paquets gérés par CrowdStrike ont été brièvement compromis; CrowdStrike affirme les avoir retirés et avoir roté ses clés, en précisant que le Falcon sensor n’est pas impacté et qu’une enquête est en cours avec NPM.
Le chercheur Nicholas Weaver qualifie l’attaque de « supply chain attack qui en conduit une autre » et estime que NPM et consorts devraient imposer une validation humaine avec 2FA résistante au phishing pour chaque publication afin d’endiguer ce type d’incident. Article de presse spécialisé décrivant une analyse de menace et le suivi d’un incident de chaîne d’approvisionnement dans l’écosystème NPM.
IOCs et TTPs observés:
- IOCs:
- Dépôts GitHub publics créés automatiquement sur le compte victime, dont le nom contient « Shai-Hulud », hébergeant les secrets exfiltrés.
- TTPs:
- Infection via installation de paquets NPM compromis; recherche de token NPM dans l’environnement.
- Propagation en modifiant et publiant les 20 paquets accessibles par le token compromis.
- Découverte de secrets avec TruffleHog; énumération de secrets AWS/Azure/GCP.
- Exfiltration par publication de secrets dans des dépôts GitHub publics; tentative de créer de GitHub Actions.
- Ciblage OS: Linux/macOS uniquement; Windows ignoré.
- Chronologie: première altération observée le 14/09 ~17:58 UTC; endpoint d’exfiltration ensuite limité/désactivé.
🔗 Source originale : https://krebsonsecurity.com/2025/09/self-replicating-worm-hits-180-software-packages/