Selon Aikido Security (blog, 28 déc. 2025), une nouvelle souche du ver/malware Shai Hulud a été détectée dans le package npm @vietmoney/react-big-calendar, vraisemblablement un test des attaquants, sans signe de large propagation à ce stade.

• Nature et contexte: Aikido décrit une variante «novelle et inédite» de Shai Hulud, dont le code apparaît à nouveau obfusqué depuis la source originale (peu probable qu’il s’agisse d’un copycat). Le package malveillant a été identifié peu après sa mise en ligne, avec des changements notables dans la chaîne d’exfiltration et l’opérationnalisation du ver. ⚠️

• Changements clés: Les fichiers initiaux ont été renommés (initialiseur: bun_installer.js; charge utile: environment_source.js). La description des dépôts GitHub utilisés pour la fuite est désormais: “Goldox-T3chs: Only Happy Girl.”. Des noms de fichiers de fuite ont changé: 3nvir0nm3nt.json, cl0vd.json, c9nt3nts.json, pigS3cr3ts.json, actionsSecrets.json. Le dead man switch a disparu. Le ordre de collecte/sauvegarde des secrets a été modifié: le fichier “contents” est maintenant sauvegardé en dernier.

• Corrections/bugs: Un bug a été observé: le code tente de récupérer c0nt3nts.json mais enregistre c9nt3nts.json. Le composant de publication gère désormais bun vs bun.exe pour la compatibilité Windows. L’outillage secrets (TruffleHog) bénéficie d’un meilleur handling des timeouts, avec terminaison du processus et erreur explicite.

• Portée et statut: Aikido indique ne voir aucune propagation majeure ni infection massive au moment de la publication, suggérant un probable test de payload par les assaillants. L’article documente principalement les différences techniques et artefacts d’identification de cette variante.

• Type d’article: Analyse technique visant à documenter les changements et indicateurs d’une nouvelle souche de malware (Shai Hulud) et son mode opératoire.

🧠 TTPs et IOCs détectés

TTP

T1027 - Obfuscated Files or Information, T1071 - Application Layer Protocol, T1560 - Archive Collected Data, T1059 - Command and Scripting Interpreter, T1070 - Indicator Removal on Host

IOC

npm package: @vietmoney/react-big-calendar, GitHub repository description: Goldox-T3chs: Only Happy Girl, filenames: 3nvir0nm3nt.json, cl0vd.json, c9nt3nts.json, pigS3cr3ts.json, actionsSecrets.json

🔗 Source originale : https://www.aikido.dev/blog/shai-hulud-strikes-again—the-golden-path