Shai-Hulud

Selon CyberArk (billet de blog), l’attaque « Shai-Hulud » a frappé l’écosystème npm en septembre 2024, exploitant des faiblesses d’identité (comptes humains, identités machines, relations de confiance logicielle) pour mener une attaque de chaîne d’approvisionnement ayant compromis 500+ paquets en moins de 24 heures. Le ver 🪱 a été diffusé via des paquets npm trojanisés tels que "@ctrl/tinycolor@4.1.1", livrant une charge utile multi‑étapes. À l’exécution de bundle.js, le malware a collecté des identifiants (fichiers, variables d’environnement, points de terminaison IMDS cloud), s’appuyant notamment sur des outils comme TruffleHog. Les jetons volés (npm, GitHub, cloud) étaient validés, puis les données exfiltrées vers des dépôts GitHub publics et des services de webhooks. ...

Selon The Record, la semaine dernière, des experts en cybersécurité et des entreprises technologiques ont tiré la sonnette d’alarme au sujet d’une vaste compromission de la chaîne d’approvisionnement logicielle. Au cœur de l’incident se trouve Shai-Hulud, un ver auto-réplicant utilisé pour infecter plus de 500 paquets intégrés à divers logiciels. 🐛 La CISA a publié une alerte urgente concernant une attaque de chaîne d’approvisionnement logicielle baptisée Shai-Hulud, qui a compromis plus de 500 packages npm utilisés par des développeurs à travers le monde. Cette attaque repose sur un ver auto-réplicatif capable d’insérer du code malveillant dans des bibliothèques logicielles, compromettant ainsi les projets qui les utilisent. Une fois en place, le malware volait des identifiants sensibles (tokens GitHub, clés API de services cloud, etc.) et les diffusait publiquement, permettant aux attaquants de prendre le contrôle d’autres environnements de développement. ...