Logo Xygeni Blanc
Essayer gratuitement
Réservez une démo
Shai-Hulud 3.0 - Logiciel malveillant npm Worn - Logiciel malveillant shai-hulud

Shai-Hulud 3.0 : npm Malware Worn

Table des Matières

Articles à lire absolument

Derniers articles d'intérêt

TL; DR

Shai-Hulud 3.0 est la dernière évolution du malware npm shai-hulud, un ver de la chaîne d'approvisionnement auto-propagateur l'utilisation abusive des packages npm pour voler des identifiants, se propager automatiquement et compromettre CI/CD Environnements. Contrairement aux versions précédentes, Shai-Hulud 3.0 affine sa logique de propagation, cible les bibliothèques frontales populaires et accélère l'infection grâce à l'abus des jetons de maintenance.

Par conséquent, ce logiciel malveillant shai-hulud prouve une fois de plus que les attaques modernes contre la chaîne d'approvisionnement npm ne reposent plus sur les vulnérabilités zero-day, mais sur l'automatisation, l'abus de confiance et les flux de travail des développeurs.

Qu'est-ce que Shai-Hulud 3.0 ?

Shai-Hulud 3.0 est la troisième vague confirmée de la campagne de logiciels malveillants npm shai-hulud, après le ver Shai-Hulud original et l'épidémie à grande échelle Shai-Hulud 2.0.

Cette version n'introduit cependant pas de faille fondamentalement nouvelle. Elle améliore plutôt l'efficacité, la furtivité et le ciblage. En d'autres termes, Shai-Hulud 3.0 optimise le modèle d'attaque de la chaîne d'approvisionnement plutôt que de le réinventer.

Plus important encore, le logiciel malveillant continue de fonctionner comme un ver, et non comme un programme malveillant ponctuel.

Pourquoi Shai-Hulud 3.0 est important pour la sécurité de npm

À première vue, Shai-Hulud 3.0 peut sembler être « un simple paquet npm malveillant de plus ». Cependant, c'est précisément cette supposition qui explique le succès de cette campagne.

Car les écosystèmes npm dépendent fortement de :

  • confiance implicite
  • installations automatisées
  • identifiants du responsable de la maintenance
  • CI/CD pipelines

Un seul jeton compromis peut rapidement dégénérer en une attaque de logiciel malveillant affectant toute la chaîne d'approvisionnement npm.

Par conséquent, le logiciel malveillant shai-hulud n'a pas besoin d'exploits. Il instrumentalise les flux de travail normaux.

Vecteur d'attaque de Shai-Hulud 3.0 : Comment le malware npm se propage

Infection initiale via un package npm malveillant

Le malware shai-hulud npm pénètre dans l'écosystème via des packages piégés publiés sous des comptes de mainteneurs légitimes ou compromis.

Lors de la vague Shai-Hulud 3.0, les chercheurs ont observé une infection via des dépendances populaires, notamment des packages orientés frontend tels que :

@vietmoney/react-big-calendar

Comme ces paquets occupent une place importante dans les graphes de dépendances, une seule installation se propage rapidement à travers les projets.

Récolte de titres de compétences et propagation des vers

Une fois installé, Shai-Hulud 3.0 exécute des scripts de cycle de vie malveillants pendant install or postinstall.

À ce stade, le logiciel malveillant :

  • analyse les fichiers locaux et les variables d'environnement
  • extrait les jetons npm et les identifiants GitHub
  • identifie les dépôts et les paquets accessibles

Par conséquent, l'infection passe immédiatement de compromis local à propagation à l'échelle de l'écosystème.

Republié automatiquement dans les portefeuilles des responsables de maintenance

Après avoir collecté les identifiants, le shai-hulud npm malware énumère par programme tous les paquets appartenant au responsable de la maintenance compromis.

Ensuite, il :

  • injecte du code malveillant dans les nouvelles versions
  • republie automatiquement ces versions
  • transforme chaque victime en un nouveau point de distribution

En conséquence, Un seul jeton volé peut infecter des dizaines, voire des centaines de paquets npm en quelques heures..

Shai-Hulud 3.0 vs Vagues précédentes

Qu'est-ce qui a changé dans Shai-Hulud 3.0 ?

Bien que les mécanismes de base restent familiers, Shai-Hulud 3.0 introduit plusieurs améliorations importantes.

Plus particulièrement :

  • logique de propagation plus rapide
  • structure de charge utile plus propre
  • meilleure intégration avec les mises à jour légitimes des packages
  • réduction du bruit par rapport à Shai-Hulud 2.0

Par conséquent, la détection basée uniquement sur la réputation ou les CVE devient inefficace.

Aspect Shai-Hulud 2.0 Shai-Hulud 3.0
Vecteur d'infection initiale Paquets npm malveillants avec scripts de cycle de vie préinstallés Des paquets npm malveillants exploitent des bibliothèques et des chemins de mise à jour de confiance et à forte visibilité.
Cible principale écosystème npm et CI/CD pipelines L'écosystème npm axé sur les machines de développement et les consommateurs en aval
Mécanisme de propagation Vol d'identifiants suivi de la republication automatisée des paquets Réutilisation des identifiants et exploitation abusive des dépendances pour étendre sa portée plus rapidement
Abus de temps d'exécution Installation à la volée du runtime Bun Réutilisation de l'environnement d'exécution Node.js existant et des chemins d'exécution de confiance
CI/CD Abus Flux de travail GitHub Actions cachés et exécuteurs auto-hébergés Inégalités CI/CD bruit, davantage d'accent sur l'exécution furtive au niveau du paquet
Comportement de la charge utile Analyse des charges utiles JavaScript obfusquées volumineuses et de l'environnement Des charges utiles plus petites et plus ciblées, axées sur la persistance et la diffusion.
Ciblage des identifiants Jetons GitHub, jetons npm, identifiants cloud, secrets d'intégration continue Mêmes cibles d'identification, avec une réutilisation plus rapide et une exfiltration moins visible.
Bruit opérationnel Très bruyant : création massive de dépôts, injection de flux de travail, téléchargements en masse Bruit réduit : moins d’artefacts visibles, plus difficiles à repérer lors d’un examen manuel.
Rayon d'impact Important mais détectable en raison de l'échelle et des artefacts Potentiellement plus important en raison de l'abus furtif et de confiance des colis
Défi défensif Arrêt CI/CD abus et fuites d'identifiants Détection de comportements malveillants au sein de paquets par ailleurs légitimes

Pourquoi il s'agit toujours du même ver

Malgré ces changements, Shai-Hulud 3.0 appartient toujours à la même catégorie de ver de la chaîne d'approvisionnement npm..

Elle s'appuie sur :

  • réutilisation des informations d'identification
  • republication automatisée
  • confiance de dépendance
  • CI/CD efficace

Par conséquent, tout environnement qui installe des paquets npm sans contrôle comportemental reste vulnérable.

Indicateurs de compromis

Les équipes de sécurité enquêtant sur le logiciel malveillant shai-hulud doivent rechercher les signaux suivants :

  • mises à jour inattendues des versions de paquets
  • Scripts de cycle de vie ajoutés sans justification
  • blobs JavaScript obfusqués
  • Requêtes réseau sortantes pendant l'installation
  • npm ou GitHub jetons consultés lors de l'installation
  • CI/CD Des tâches se comportent de manière inattendue après les mises à jour des dépendances

Il est important de noter qu'aucune de ces vulnérabilités ne nécessite l'existence d'une CVE.

Pourquoi les outils de sécurité npm traditionnels ratent Shai-Hulud 3.0

La détection basée sur les CVE échoue

Parce que Shai-Hulud 3.0 exploite des flux de travail légitimes, les scanners qui se concentrent uniquement sur les vulnérabilités connues ne détectent rien d'anormal.

Il y a:

  • aucune fonction vulnérable
  • aucune API non sécurisée
  • aucune corruption de mémoire

Il s'agit plutôt d'une intention malveillante intégrée au JavaScript normal.

SBOM La visibilité ne suffit pas

De même, le SBOMs je peux vous le dire est ce que nous faisons vous dépendez de, mais pas ce qu'il fait au moment de l'installation.

Par conséquent, la visibilité sans application stricte ne permet pas d'arrêter un parasite au sein de la chaîne d'approvisionnement.

Comment Xygeni empêche les attaques de la chaîne d'approvisionnement npm de type Shai-Hulud 3.0

shai hulud - attaque de la chaîne d'approvisionnement npm

C'est précisément là que l'architecture de Xygeni prend toute son importance.

Alerte précoce aux logiciels malveillants (MEW) : Bloquer les logiciels malveillants npm lors de la publication

Alerte précoce contre les logiciels malveillants (MEW) de Xygeni Analyse en continu et en temps réel les nouveaux packages npm publiés.

MEW détecte :

  • charges utiles obscurcies
  • scripts de cycle de vie suspects
  • comportement de collecte d'identifiants
  • écritures anormales du système de fichiers
  • activité réseau inattendue

Plus important encore, MEW peut bloquer automatiquement les compilations, empêchant ainsi le malware npm shai-hulud de s'infiltrer. CI/CD.

Guardrails: Faire respecter les comportements de dépendance sécuritaires

Xygéni Guardrails appliquer des politiques strictes à l'intérieur pipelines.

Ils:

  • bloquer les packages npm malveillants ou suspects
  • empêcher l'exécution des scripts d'installation cachés
  • Interrompre les téléchargements d'exécution pendant les compilations
  • Garantir l'intégrité du fichier de verrouillage

En conséquence, le pipeline s'arrête avant que le ver ne s'exécute.

CI/CD Sécurité : Protéger Pipelines de maltraitance

Parce que Shai-Hulud 3.0 pivote souvent vers CI/CD, Moniteurs Xygeni pipelines pour:

  • modifications non autorisées du flux de travail
  • schémas d'exécution anormaux
  • abus d'autorisation
  • injection de flux de travail déclenchée par dépendance

En cas de comportement à risque, Xygeni bloque pipeline Immédiatement, coupant court à tout mouvement latéral.

Secrets de protection : Réduire le rayon d’explosion

Étant donné que le logiciel malveillant shai-hulud vole agressivement les identifiants, Xygeni s'intéresse également aux secrets.

Xygéni :

  • détecte les secrets exposés à travers le SDLC
  • rotation automatique des identifiants à haut risque
  • applique des pratiques de jetons plus sûres

Par conséquent, même si un logiciel malveillant s'exécute, les secrets volés perdent rapidement de la valeur.

Pourquoi Shai-Hulud 3.0 confirme une tendance à long terme

En définitive, Shai-Hulud 3.0 confirme une réalité plus large.

Attaques modernes contre la chaîne d'approvisionnement de npm :

  • se propage automatiquement
  • agir plus vite que la relecture humaine
  • Exploiter la confiance, pas les vulnérabilités
  • l'objectif pipelines, pas seulement du code

Par conséquent, la défense contre le logiciel malveillant shai-hulud npm nécessite une détection et une application comportementales, et non pas seulement une analyse.

Dernières remarques : Pourquoi Shai-Hulud 3.0 est toujours important

Même si Shai-Hulud 3.0 n'introduit pas de nouvelle faille spectaculaire, il représente un modèle d'attaque mature, reproductible et évolutif.

Autrement dit, ce ne sera pas la dernière vague.

Les équipes qui privilégient une sécurité réactive continueront de traquer les infections. Celles qui bloquent les comportements malveillants dès le début parviendront à stopper définitivement le ver.

C'est là toute la différence.

Bannière d'essai de 7 jours
sca-tools-logiciel-outils-d'analyse-de-composition
Priorisez, corrigez et sécurisez vos risques logiciels
Essai gratuit 7 jours
Pas de carte bleue requise
Essayez gratuitement

Sécurisez le développement et la livraison de vos logiciels

avec la suite de produits Xygeni

Essayer gratuitement
Faites la visite du produit
Logo Xygeni Blanc

© 2026 Xygeni. Tous droits réservés

Linkedin-in X-twitter Youtube

Produits

Ressources

Entreprise

Informations légales