Le code source du malware Shai-Hulud, publié publiquement sur GitHub la semaine dernière, a été réutilisé presque immédiatement. Un acteur malveillant a mis en ligne quatre paquets infectés sur le registre npm en l’espace de quelques jours.
Les chercheurs d’OXsecurity ont repéré ces dépôts durant le week-end. L’ensemble des quatre paquets totalise 2 678 téléchargements.
A lire aussi
- Informations clés que tout utilisateur de casino en ligne devrait connaître
- Un faux dépôt OpenAI sur Hugging Face diffuse un malware voleur de données
Quatre paquets, un seul compte
L’acteur derrière cette campagne opérait sous le compte deadcode09284814. Il a publié quatre paquets aux noms délibérément proches de bibliothèques légitimes, une technique connue sous le nom de typosquatting, pour piéger les développeurs utilisant notamment Axios.
Les paquets identifiés sont : chalk-tempalte, @deadcode09284814/axios-util, axois-utils et color-style-utils. Tous embarquent des routines de vol de données, ciblant identifiants, fichiers de configuration, données de portefeuilles de cryptomonnaies et informations de compte.
Le paquet chalk-tempalte constitue le premier cas documenté d’un clone de Shai-Hulud déployé sur npm. OXsecurity précise qu’il s’agit d’une copie non modifiée du code source fuité, sans aucune technique d’obfuscation.
Un malware sans protection, mais fonctionnel
L’absence d’obfuscation est justement ce qui permet aux chercheurs d’affirmer que l’auteur de ces paquets n’est pas le groupe TeamPCP, à qui le malware Shai-Hulud est originellement attribué. Ce groupe est responsable de plusieurs campagnes d’attaque sur la chaîne d’approvisionnement logicielle depuis septembre 2025.
Malgré son manque de sophistication, le code reste pleinement opérationnel. Il exfiltre les données volées vers un serveur de commande et contrôle, et conserve une fonctionnalité permettant de déposer les identifiants dérobés dans des dépôts GitHub publics générés automatiquement.
Le paquet axois-utils va plus loin : en plus du vol d’informations, il transforme la machine infectée en nœud d’un botnet capable de lancer des attaques par déni de service distribué. Les protocoles HTTP, TCP et UDP sont pris en charge, ainsi que les attaques de type TCP reset. Le code fait référence en interne à un « phantom bot ».
Contexte : une fuite organisée
Shai-Hulud est apparu sur GitHub accompagné d’un message attribué à TeamPCP, annonçant la publication comme un « cadeau ». Cette mise à disposition publique du code source a rapidement facilité sa réutilisation par d’autres acteurs.
OXsecurity avait déjà signalé, dans un précédent rapport, que des tiers avaient commencé à copier et à modifier ce code peu après sa diffusion, en y ajoutant de nouvelles capacités.
Recommandations pour les développeurs
Les chercheurs d’OXsecurity recommandent à tout développeur ayant téléchargé l’un de ces quatre paquets de les supprimer immédiatement de ses environnements.
Il est également conseillé de renouveler l’ensemble des identifiants et clés d’API utilisés sur les systèmes concernés. La rapidité avec laquelle ce code fuité a été réutilisé illustre la vitesse à laquelle ce type de menace se propage sur les registres de paquets ouverts.
Source : Bleeping Computer
