Une attaque massive de type Worm touche NPM, mettant en danger les identifiants de Portefeuille Crypto.

Une attaque de chaîne d'approvisionnement à propagation rapide connue sous le nom de Shai-Hulud a infecté des centaines de paquets npm et exposé des informations d'identification sensibles de développeurs, y compris des jetons GitHub, des clés cloud et des données de portefeuille crypto. La campagne a commencé à la mi-septembre 2025 et a rapidement pris de l'ampleur alors que le ver se déplace à travers les comptes de mainteneurs et des bibliothèques JavaScript largement utilisées.

Comment le ver Shai-Hulud se propage

Les agences de sécurité rapportent que les attaquants compromettent d'abord un compte de mainteneur, souvent par phishing, puis téléchargent des versions modifiées de paquets légitimes. Une fois qu'un développeur installe l'une de ces versions, un script malveillant appelé bundle.js s'exécute sur les systèmes macOS ou Linux.

Le ver scanne les machines et les pipelines CI à la recherche de secrets en utilisant l'outil open-source TruffleHog. Il recherche des éléments tels que :

• Jetons d'accès personnel GitHub
• npm publier des tokens
• Clés cloud AWS, GCP et Azure
• Clés de portefeuille et identifiants de développement crypto

S'il trouve des jetons npm valides, il met immédiatement à jour et republie des packages supplémentaires appartenant au même mainteneur. Ce comportement permet au malware de se répliquer rapidement à travers l'écosystème.

Persistance et exposition des données

Les chercheurs ont découvert que le ver tente de rester actif en créant des workflows GitHub Actions à l'intérieur des dépôts victimes. Il télécharge également des identifiants volés et des données de dépôts privés vers de nouveaux dépôts publics GitHub étiquetés Shai-Hulud. Certaines bibliothèques compromises reçoivent des milliards de téléchargements hebdomadaires, ce qui soulève de sérieuses inquiétudes quant à l'ampleur de l'exposition.

Bien qu'aucun cas confirmé ne montre d'infections directes du service de noms Ethereum ou de bibliothèques web3 populaires, le risque reste élevé. Des attaques précédentes dans npm et PyPI ont spécifiquement ciblé des outils crypto, donc les développeurs travaillant sur des comptes, des contrats intelligents ou des applications web3 devraient rester prudents.

Pourquoi les projets de crypto-monnaie font face à un risque accru

Les développeurs comptent souvent sur les packages npm dans les systèmes CI/CD, les conteneurs et les environnements de production. Par conséquent, une seule dépendance compromise peut affecter l'ensemble des flux de travail blockchain. Les attaquants pourraient intercepter les opérations de portefeuille, capturer des phrases de récupération ou lire des secrets de déploiement liés à la gestion des contrats intelligents.

Que doivent faire les développeurs maintenant

Les experts exhortent les équipes à agir immédiatement :

• Auditer toutes les dépendances utilisées avant le 16 septembre 2025
• Verrouiller les versions de package sécurisées
• Faites tourner chaque identifiant de développeur, y compris GitHub, npm, SSH et les jetons cloud
• Activer l'authentification multifacteur résistante au phishing sur tous les comptes

L'incident Shai-Hulud souligne un changement majeur dans la sécurité open-source. Les vers autonomes de la chaîne d'approvisionnement ne sont plus théoriques. L'écosystème a maintenant besoin de vérifications de dépendance plus strictes, de meilleurs outils et de permissions plus strictes pour les mainteneurs.