Le code malveillant Shai-Hulud qui a fuité la semaine dernière est désormais employé dans de nouvelles attaques contre l’index Node Package Manager. Des paquets infectés sont apparus durant le week-end.
Un acteur malveillant a utilisé le compte deadcode09284814 pour publier quatre paquets nuisibles sur npm. L’un d’eux contenait une version non brouillée de Shai-Hulud qui ciblait les identifiants de développeur, les secrets, les données de portefeuille de cryptomonnaie et les informations de compte.
Tous les paquets frauduleux intégraient des routines pour voler des informations comme des identifiants et des fichiers de configuration, mais l’un d’entre eux transformait aussi le système en bot pour mener des attaques par déni de service distribué.
Les experts de la société OXsecurity, spécialisée dans la sécurité des applications du code à l’exécution, ont découvert ces publications malveillantes. Ils ont constaté que le pirate utilisait des noms mal orthographiés pour cibler les utilisateurs d’Axios, ainsi que des noms génériques.
- chalk-tempalte – Clone de Shai-Hulud (voleur de données)
- @deadcode09284814/axios-util – Voleur d’identifiants et de configurations cloud
- axois-utils – Voleur de données + botnet persistant pour déni de service
- color-style-utils – Voleur de données basique ciblant les portefeuilles crypto et les adresses IP
Selon les chercheurs, le paquet chalk-tempalte contient un clone du malware Shai-Hulud attribué au groupe de pirates TeamPCP, qui est responsable de la récente attaque de la chaîne d’approvisionnement logicielle Mini Shai-Hulud.
Le code malveillant est apparu sur GitHub la semaine dernière, accompagné d’un message supposément de TeamPCP déclarant : « C’est reparti pour un tour. Un cadeau de TeamPCP. »
Le paquet chalk-tempalte semble être le premier cas documenté d’un clone de Shai-Hulud déployé sur npm. OXsecurity précise qu’il ne s’agit pas d’un exemple sophistiqué, mais d’une copie non modifiée du code source divulgué, sans aucune protection.
L’équipe explique qu’une preuve incriminante montre que cet acteur est différent de TeamPCP. Le code de Shai-Hulud est une copie presque exacte du code source fuité, sans techniques de brouillage, ce qui rend la version finale visuellement différente de l’originale.
Le malware vole les identifiants, les secrets, les données de portefeuilles crypto et les informations de compte. Il envoie ces données vers un serveur de commande et de contrôle situé à l’adresse 87e0bbc636999b[.]lhr[.]life.
Le code conserve la fonctionnalité de publication sur GitHub. Il téléverse donc les identifiants volés vers des dépôts publics générés automatiquement.
Parmi les trois autres paquets, ‘axois-utils‘ se distingue car il inclut des capacités de déni de service, en plus de la fonction de vol de données présente dans les quatre paquets.
Ce paquet prend en charge les attaques par inondation HTTP, TCP et UDP, ainsi que les attaques de réinitialisation TCP. Les chercheurs ont aussi trouvé des références internes à un « bot fantôme ».
Source : OXsecurity
La campagne Shai-Hulud a connu plusieurs vagues depuis septembre 2025, volant les données de développeurs en injectant des logiciels malveillants dans des projets légitimes. Après le vol d’identifiants pour des comptes disposant de droits de publication, les informations dérobées étaient exposées dans des dépôts GitHub publics. Ces campagnes étaient attribuées au groupe de pirates TeamPCP.
Dans un précédent rapport, OXsecurity indique que des acteurs malveillants ont rapidement copié le code source du malware et ont commencé à le modifier pour étendre ses capacités.
Les chercheurs recommandent aux développeurs qui ont téléchargé des paquets npm infectés de les supprimer immédiatement et de renouveler leurs identifiants et clés d’API sur les systèmes concernés.
OXsecurity note que les quatre paquets ont été téléchargés 2 678 fois au total.