Shai-Hulud : le malware de la chaîne d'approvisionnement qui s'infiltre dans les pipelines de développement — et dans les wallets crypto Une campagne de malware furtive baptisée « Shai-Hulud » exploite les chaînes d'outils automatisés sur lesquelles les développeurs comptent pour construire et déployer des logiciels, et son ampleur est alarmante. Les chercheurs ont lié environ 320 entrées malveillantes sur les dépôts Node Package Manager (NPM) et PyPI à cette campagne — des paquets qui représentent ensemble plus de 518 millions de téléchargements mensuels. Pour les projets crypto et toute équipe dépendant de ces écosystèmes, les implications sont claires : un accès des attaquants aux outils de développement peut rapidement se transformer en vol de crédentials cloud et de wallets crypto. Comment l'infection se propage Shai-Hulud n'attaque pas directement les utilisateurs finaux. Il compromet plutôt des paquets de confiance et des pipelines de construction afin que le malware soit automatiquement intégré aux projets en aval pendant les processus normaux de développement et de publication. Étant donné que le code malveillant provient souvent de registries de paquets légitimes, porte des signatures valides et passe les contrôles habituels, il peut se fondre dans l'environnement — rendant la détection difficile jusqu'à ce que les dommages soient faits. Pourquoi cela compte « Le logiciel moderne est construit en exécutant le code d'autrui », a déclaré Jeff Williams, CTO de Contrast Security, à Decrypt. « Les développeurs ne se contentent pas de “télécharger” des bibliothèques. Ils les installent, les utilisent pour construire, les testent, les déployent, et finissent par les exécuter. Et si vous exécutez une bibliothèque malveillante, elle peut faire presque tout ce que vous pouvez faire. » Il a averti que les progrès de l'IA aggravent le problème, comparant l'effet à « faire d'un ordinateur un agent double ». Incidents réels et conséquences - Au début mai, Microsoft Threat Intelligence a révélé que des attaquants avaient inséré du code malveillant dans un paquet Mistral AI sur PyPI. Le malware récupérait également un fichier conçu pour ressembler à la bibliothèque Transformers de Hugging Face afin de se fondre dans les environnements ML. Mistral a ultérieurement indiqué qu'un appareil développeur affecté était impliqué, mais n'a observé aucune preuve que son infrastructure propre avait été compromise. - Deux jours plus tard, OpenAI a confirmé que deux appareils d'employés avaient été infectés par un malware lié à Shai-Hulud, qui a brièvement accordé aux attaquants un accès à un nombre limité de dépôts de code internes. L'entreprise n'a rapporté aucune preuve que des données clients, des systèmes de production ou de la propriété intellectuelle avaient été compromises. - La campagne a attiré une attention plus large après une attaque du 11 mai contre TanStack, un framework JavaScript open-source largement utilisé qui alimente de nombreuses applications web et cloud. Portée et acteurs Les chercheurs ont remonté les variantes antérieures de Shai-Hulud jusqu'à septembre 2025 et les ont liées à des cybercriminels opérant sous le pseudonyme TeamPCP. Le groupe criminel a ensuite affirmé avoir volé environ 4 000 dépôts GitHub privés et proposé ces données à la vente — GitHub affirme enquêter sur un accès non autorisé à des dépôts internes. Parallèlement, la société de sécurité OX Security a signalé la circulation de paquets imitateurs qui volent déjà les crédentials des wallets crypto et cloud, les clés SSH et les variables d'environnement, et certaines variantes tentent également de recruter les machines infectées dans des botnets DDoS. Notes techniques et indices d'attribution OX Security a noté que certains nouveaux échantillons sont presque identiques à une source Shai-Hulud divulguée sans obfuscation, suggérant que différents acteurs reconditionnent le code plutôt que de développer de nouvelles variantes. Ce type de réutilisation accélère la propagation : la compromission d'un paquet petit ou peu connu fournit à un attaquant un canal d'accès vers chaque projet en aval qui lui fait confiance, permettant le vol de jetons, la publication malveillante et des cycles répétés d'avariation. Pourquoi les projets crypto doivent y prêter attention Pour les équipes blockchain et crypto, la surface d'attaque inclut les machines développeurs, les CI/CD, les registries de paquets et les systèmes de publication automatisés — des domaines que les attaquants ciblent de plus en plus car ils offrent un fort effet de levier. Lorsque des crédentials de wallet, des variables d'environnement ou des clés API cloud sont exposées via une dépendance compromise ou un cache de construction, les attaquants peuvent passer des environnements développeurs aux systèmes de production et aux actifs financiers. Défenses pratiques Les experts soulignent que la chaîne d'approvisionnement logicielle n'est plus une simple chaîne mais un réseau de propagation, et que les défenses doivent refléter cette réalité. Les mesures recommandées incluent : - Des contrôles plus stricts sur les dépendances et un verrouillage rigoureux des versions. - Des protections renforcées pour la publication et des versions signées et vérifiées. - Des crédentials avec privilèges minimum pour CI/CD et un renouvellement régulier des jetons. - Des environnements de construction isolés et des caches de construction immuables. - Une analyse automatisée pour détecter la manipulation des dépendances et l'utilisation de flux d'intelligence sur les menaces afin d'identifier précocement les paquets malveillants. « Shai-Hulud rappelle que la surface d'attaque s'étend bien au-delà des couches d'application traditionnelles pour inclure les paquets open-source qui alimentent les flux modernes de développement et de déploiement », a déclaré Joris Van De Vis, directeur de la recherche en sécurité chez SecurityBridge, à Decrypt. Pour les créateurs crypto, cela signifie que protéger le pipeline développeur est aussi important que sécuriser les contrats intelligents et les wallets — car une construction corrompue peut être le moyen le plus rapide d'accéder à des fonds compromis. Conclusion : les attaquants arment des infrastructures de confiance. Les projets qui reposent sur des paquets publics, des CI/CD automatisés et des caches de construction partagés doivent adopter des contrôles plus stricts et une détection rapide pour protéger leur code — et leurs actifs crypto.
Le malware Shai-Hulud infecte des paquets NPM/PyPI, menace les wallets crypto
ChainGPTPartager
Résumé
Le malware Shai-Hulud a infecté plus de 320 paquets NPM et PyPI, affectant plus de 518 millions de téléchargements mensuels. La menace cible les wallets crypto et les identifiants cloud, avec des violations récentes chez Mistral AI et OpenAI. Les chercheurs relient ce malware à TeamPCP, qui avait précédemment volé 4 000 dépôts GitHub. Les actualités sur chaîne soulignent l'urgence de renforcer les vérifications des dépendances et les versions signées. Les actualités sur l'IA et la crypto révèlent des risques croissants dans les écosystèmes open source. Les experts appellent à l'utilisation d'environnements de build isolés pour empêcher une propagation supplémentaire.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.