Les meilleures analyses crypto directement dans votre boîte mail.
Le ver Mini Shai-Hulud détourne 323 paquets npm en moins de 30 minutes via un seul compte volé
- Le ver Mini Shai-Hulud a compromis 323 packages npm via le compte « atool » détourné le 19 mai, publiant 639 versions malveillantes.
- Les packages concernés incluent echarts-for-react (1,1 million de téléchargements hebdomadaires), size-sensor (4,2 millions) et l'ensemble de l'écosystème de visualisation de données @antv d'Alibaba.
- La campagne, plus vaste, a désormais atteint 1 055 versions réparties sur 502 paquets couvrant les registres npm, PyPI et Composer.
Le 19 mai, le ver Mini Shai-Hulud a compromis un compte de mainteneur npm et a diffusé 639 versions malveillantes sur 323 paquets en moins de 30 minutes.
Le compte compromis, « atool » ([email protected]), publie l'intégralité de la pile de visualisation de données @antv d'Alibaba ainsi que des bibliothèques autonomes utilisées dans les tableaux de bord crypto, les DeFi et les applications fintech.
Les cibles les plus populaires : size-sensor avec 4,2 millions de téléchargements hebdomadaires, echarts-for-react avec 1,1 million, @antv/scale avec 2,2 millions et timeago.js avec 1,15 million.
Les projets utilisant des plages de versions semver, comme ^3.0.6 pour echarts-for-react, ont été automatiquement résolvés en version malveillante 3.2.7 lors de la prochaine installation propre. Le responsable du projet a fermé les alertes de sécurité sur GitHub en moins d'une heure, les dissimulant parmi les problèmes résolus.
Ce que la charge utile vole et comment elle persiste
Le logiciel malveillant collecte plus de 20 types d'dent: clés AWS via les métadonnées EC2 et ECS, jetons Google Cloud et Azure, jetons GitHub et npm, clés SSH, comptes de service Kubernetes, secrets HashiCorp Vault, clés API Stripe, chaînes de connexion à des bases de données et coffres-forts de mots de passe locaux de 1Password et Bitwarden, selon Socket.dev.
L'exfiltration s'effectue via deux canaux.dentvolés sont chiffrés avec AES-256-GCM et envoyés à un serveur de commande et de contrôle.
En dernier recours, le ver utilise des jetons GitHub compromis pour créer des dépôts publics aux noms inspirés de Dune, tels que sardaukar-melange-742 ou fremen-sandworm-315, puis y enregistre les données volées sous forme de fichiers. StepSecurity a signalé que plus de 2 500 dépôts GitHub présentent déjà des indicateurs liés à cette campagne.
De plus, le ver utilise le chiffrement pour les données volées dans tracOpenTelemetry transférées via HTTPS. Sur les machines Linux, il configure un service utilisateur systemd capable de récupérer des instructions depuis GitHub même après la suppression du paquet.
Le ver modifie les fichiers de configuration .vscode et .claude pour assurer sa réactivation dans les environnements de développement.
La campagne continue de prendre de l'ampleur
Il s'agit de la troisième vague. Comme Cryptopolitan l'a rapporté en janvier, la première variante de Shai-Hulud a ciblé les packages npm de Trust Wallet, entraînant des pertes de 8,5 millions de dollars. La deuxième vague a touché Mistral AI, TanStack, UiPath et Guardrails AI le 11 mai.
Socket a pudentau total 1 055 versions compromises dans 502 packages distincts via npm, PyPI et Composer.
Le groupe de pirates informatiques à l'origine de cette campagne, TeamPCP, a fait la promotion de ses outils sur des forums de piratage clandestins, selon les chercheurs de Datadog. Des copies de ces outils, utilisant différents serveurs de commande et de contrôle, ont vu le jour, rendant leur attribution difficile.
Le PDG de SlowMist, 23pds, a déclaré que tout environnement ayant installé des versions affectées devait être considéré comme totalement compromis.
Parmi les actions recommandées, citons la révocation de tous les jetons d'accès, la rotationdentpour AWS, GitHub, npm et les fournisseurs de cloud, la mise en œuvre d'une authentification multifactorielle pour la publication de comptes et l'examen de toute activité suspecte au sein des dépôts.
Les plus grands experts en cryptomonnaies lisent déjà notre newsletter. Envie d'en faire partie ? Rejoignez-les !
FAQ
Qu'est-ce que le Mini Shai-Hulud ?
Mini Shai-Hulud est une campagne de logiciels malveillants auto-réplicatifs attribuée à un groupe à motivation financière appelé TeamPCP qui se propage via des packages npm compromis, volant lesdentdes développeurs et les utilisant pour publier d'autres versions de packages empoisonnées sous desdentde mainteneurs légitimes.
Quels packages npm ont été affectés ?
La vague du 19 mai a compromis 323 packages et 639 versions liés au compte npm « atool », dont echarts-for-react (environ 1,1 million de téléchargements hebdomadaires), la suite de visualisation de données @antv d'Alibaba, timeago.js et size-sensor, selon les recherches de SafeDep et Socket.
Que doivent faire les développeurs s'ils ont installé un package affecté ?
Les chercheurs en sécurité recommandent de considérer la machine ou le runner CI comme totalement compromis : renouveler tous lesdent(AWS, GitHub, npm, SSH, base de données), activer l’authentification à deux facteurs, auditer GitHub à la recherche de dépôts non autorisés correspondant au modèle de nommage de la campagne et supprimer les portes dérobées persistantes des fichiers de configuration des outils de développement tels que `.vscode/tasks.json` et `.claude/settings.json`.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Micah Abiodun
Micah Abiodun met à profit son master en ingénierie et gestion de l'environnement obtenu à l'Université de technologie de Tallinn (TalTech) pour peaufiner le contenu et les prévisions de prix chez Cryptopolitan. Fort de sept années d'expérience dans les médias spécialisés en cryptomonnaies, il couvre les principales cryptomonnaies, les altcoins, DeFi, les stablecoins, les tendances macroéconomiques et les technologies émergentes
LES
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)