Le retour de Mini Shai-Hulud : une attaque de supply chain auto-propagatrice frappe l’écosystème npm (11/05)

Vue d’ensemble

Le ver Mini Shai-Hulud infecte activement des packages npm légitimes en détournant les pipelines CI/CD et en volant les secrets des développeurs. Le flux OSS Package Security Feed de StepSecurity a détecté cette attaque pour la première fois dans les packages officiels @tanstack, et suit en temps réel sa propagation dans l’ensemble de l’écosystème.

Moment de l’incident et ampleur

Le 11 mai 2026 vers 19:20 UTC, 10 versions malveillantes de packages officiels @tanstack/* ont été publiées sur le registre npm en moins de 6 minutes. Ces packages sont des composants clés du framework TanStack Router, utilisé dans des centaines de milliers de projets React.

Payload malveillant

Un payload obfusqué de 2,3 Mo conçu pour voler des identifiants a été injecté afin de collecter des tokens GitHub, des tokens npm et des secrets CI/CD.

Menace principale — mécanisme d’auto-propagation

Le ver Shai-Hulud n’a pas besoin de compromettre directement un dépôt : il s’appuie sur le processus de build légitime et utilise les tokens des utilisateurs pour se propager lui-même. Autrement dit, même des packages dotés de SLSA provenance, d’une publication basée sur OIDC et de pipelines CI/CD de confiance peuvent être transformés en armes, ce qui constitue l’enseignement majeur de cette attaque.

Risque d’infection en chaîne

La structure interconnectée de l’écosystème npm en fait un vecteur de propagation idéal, et la compromission d’un seul token peut entraîner une infection en chaîne touchant des dizaines de packages en quelques minutes — dans ce cas également, 10 versions malveillantes ont été déployées sur 5 packages en moins de 6 minutes.