Mini Shai-Hulud frappe à nouveau : 314 paquets npm compromis

• Le compte npm atool a été compromis le 19 mai 2026, avec 637 versions malveillantes automatiquement publiées sur 317 paquets pendant environ 22 minutes
• La charge utile est un script Bun obfusqué de 498 Ko, utilisant la même structure de scanner et les mêmes expressions régulières que Mini Shai-Hulud employé lors de la compromission de SAP
• Les cibles d’exfiltration ont été étendues aux identifiants AWS, jetons Kubernetes, Vault, PAT GitHub, jetons npm, clés SSH et secrets locaux
• Dans les environnements CI, l’attaque échange l’OIDC de GitHub Actions contre un jeton de publication npm et abuse de la signature Sigstore ainsi que de l’injection de workflows malveillants
• La réponse nécessite de vérifier si une version compromise a été installée, de remplacer tous les identifiants potentiellement exposés, et de mettre en place le pinning du lockfile et des dépendances ainsi que des contrôles avant installation

Vue d’ensemble de l’attaque

• Le compte npm atool (i@hust.cc) a été compromis le 19 mai 2026, et 637 versions malveillantes ont été publiées sur 317 paquets pendant environ 22 minutes
• Ce compte maintenait 547 paquets, et l’attaquant a effectué deux incréments de version sur plus de 314 d’entre eux
• Parmi les paquets touchés figuraient size-sensor (4,2 millions de téléchargements mensuels), echarts-for-react (3,8 millions), @antv/scale (2,2 millions), timeago.js (1,15 million), ainsi que de nombreux paquets du scope @antv
• La charge utile est un script Bun obfusqué de 498 Ko, qui reprend la même structure de scanner, les mêmes expressions régulières d’identifiants et les mêmes motifs d’obfuscation que le toolkit Mini Shai-Hulud utilisé trois semaines plus tôt dans la compromission de SAP
• Les données volées sont soit commit dans un dépôt GitHub public sous forme d’objets Git, soit transmises via une requête HTTPS POST chiffrée en RSA+AES vers t.m-kosche[.]com

Mode de déploiement et risque semver

• La première vague a publié environ 317 versions entre 01:39 et 01:56 UTC le 19 mai 2026, et la seconde a effectué environ 314 incréments de version sur les mêmes paquets entre 02:05 et 02:06 UTC
• La plupart des paquets, soit 309, ont reçu exactement 2 versions malveillantes, une par vague
• Quatre paquets — size-sensor, echarts-for-react, jest-canvas-mock, jest-date-mock — ont reçu 3 versions, ce qui suggère leur utilisation pour les tests initiaux
• L’attaquant n’a pas déplacé le dist-tag latest sur la plupart des paquets, mais la résolution semver de npm sélectionne la version la plus élevée correspondant à la plage, indépendamment de latest
• Par exemple, même si latest de echarts-for-react reste sur 3.0.6, un projet avec "echarts-for-react": "^3.0.6" peut être résolu vers la version malveillante 3.2.7 lors de la prochaine installation propre

Chaîne d’exécution et charge utile

• Toutes les versions compromises ajoutent dans package.json un incrément de version et "preinstall": "bun run index.js"
• Parmi les 637 versions malveillantes, 630 ajoutent aussi @antv/setup: github:antvis/G2#<commit-sha> dans optionalDependencies, afin de récupérer une seconde copie de la charge utile
• Le hook preinstall s’exécute avant l’installation des dépendances et nécessite l’environnement d’exécution Bun
• Même si preinstall est bloqué ou ignoré, le script prepare du commit usurpant GitHub reste un second chemin d’exécution
• index.js est un bundle Bun obfusqué de 498 Ko sur une seule ligne, avec les mêmes exigences Bun, la même obfuscation par variables hexadécimales, la même structure de scanner avec seuil de flush à 100 Ko, et le même ensemble d’expressions régulières d’identifiants que la charge utile Mini Shai-Hulud utilisée dans la compromission de SAP
• La détection des environnements CI vérifie les variables d’environnement de plus de 20 plateformes, dont GitHub Actions, Jenkins, GitLab CI, CircleCI, Travis, Buildkite, Drone, TeamCity, AppVeyor, Bitbucket Pipelines, CodeBuild, Azure DevOps, Netlify et Vercel

Cibles de collecte d’identifiants

• La charge utile lit plus de 80 variables d’environnement aux noms chiffrés et analyse le contenu des fichiers via des expressions régulières
• Les principales cibles incluent les jetons GitHub, jetons npm, JWT GitHub Actions, clés AWS, clés Azure, chaînes de connexion de base de données, clés Stripe, clés SSH, authentification Docker, jetons Vault, jetons Kubernetes et identifiants intégrés dans les URL
• Le scanner de fichiers lit les emplacements standards d’identifiants dans le répertoire personnel, comme .ssh, .aws/credentials, .npmrc, .docker/config.json et .kube/config
• Il parcourt l’ordre complet de résolution des identifiants AWS, récupère les identifiants de rôle IAM depuis EC2 IMDSv2 et l’endpoint d’identifiants des conteneurs ECS, puis tente aussi d’accéder à AWS STS GetCallerIdentity et à Secrets Manager
• Pour Vault, il vérifie les fichiers de jeton ainsi que VAULT_ADDR, VAULT_TOKEN, VAULT_ROLE, etc., puis tente l’énumération des secrets ainsi que l’authentification AWS et Kubernetes si des identifiants valides sont présents
• Pour Kubernetes, il vérifie le jeton du service account et KUBECONFIG, et si un socket Docker est présent, il tente d’énumérer les conteneurs de l’hôte et de s’échapper du conteneur

C2 et exfiltration de données

• L’API GitHub est utilisée comme C2, avec GET /user pour valider les jetons GitHub volés et GET /user/orgs pour énumérer les organisations
• Les jetons disposant des permissions repo ou public_repo sont utilisés pour créer les dépôts d’exfiltration de l’attaquant
• La description du dépôt créé utilise la chaîne inversée niagA oG eW ereH :duluH-iahS, qui devient, dans le bon sens, « Shai-Hulud: Here We Go Again »
• Les noms de dépôt combinent deux mots sur le thème de Dune et un nombre, comme harkonnen-melange-742, fremen-sandworm-315 ou gesserit-navigator-508
• Les données exfiltrées sont stockées via la Git Data API dans l’ordre blob, tree, commit, puis mise à jour de ref
• Un expéditeur HTTPS distinct est configuré pour faire passer hxxps://t.m-kosche[.]com/api/public/otel/v1/traces pour un endpoint d’ingestion de traces OTLP OpenTelemetry
• La charge utile HTTPS chiffre un JSON gzip avec AES-256-GCM, puis encapsule la clé AES avec RSA-OAEP à l’aide d’une clé publique codée en dur

Abus de la CI/CD et de la chaîne de confiance

• Dans les dépôts GitHub accessibles avec les jetons volés, l’attaque collecte l’historique d’exécution des workflows, les artifacts, les noms des secrets, la liste des branches et la configuration Claude Code
• L’API GitHub ne donne pas accès aux valeurs des secrets, mais leurs noms révèlent quels types d’identifiants existent
• Le workflow malveillant est injecté dans .github/workflows/codeql.yml, sous le nom Run Copilot, et se déclenche sur push
• Le workflow place tous les secrets du dépôt dans une variable d’environnement JSON avec VARIABLE_STORE: ${{ toJSON(secrets) }}, les enregistre dans format-results.txt, puis les téléverse comme artifact
• Une fois l’opération terminée, il télécharge l’archive zip de l’artifact, puis supprime l’exécution du workflow et réinitialise la ref de branche afin de réduire les traces de l’injection
• Dans les CI disposant de GitHub Actions OIDC, il tente d’échanger un jeton de publication npm via l’endpoint https://registry.npmjs.org/-/npm/…;
• La charge utile embarque une implémentation de signature Sigstore, incluant les formats Fulcio, Rekor et SLSA provenance, ce qui lui permet de produire des artifacts signés avec une identité CI compromise

Environnements de développement et agents de code IA infectés

• Le payload cible les environnements Claude Code, Codex et VS Code via une injection distante par l’API GitHub et une infection locale par écriture sur le système de fichiers
• Il commit .vscode/tasks.json, .claude/index.js, .claude/settings.json, .claude/setup.mjs, .vscode/setup.mjs dans les dépôts accessibles avec les tokens dérobés
• .claude/settings.json enregistre un hook SessionStart afin d’exécuter node .claude/setup.mjs à chaque démarrage de session Claude Code
• .vscode/tasks.json déclenche l’exécution avec "runOn": "folderOpen" à l’ouverture du dossier du projet
• setup.mjs télécharge Bun v1.3.14 depuis les releases officielles de GitHub, extrait le binaire puis exécute le payload
• Le chemin d’infection locale copie le payload dans ~/.claude/package/index.js et ~/.codex/package/index.js, puis scanne les fichiers de configuration existants du projet pour y injecter des hooks
• Sur les Mac Apple Silicon, ce chemin d’infection locale est ignoré, alors qu’il s’exécute sur Linux, les Mac Intel et Windows

Persistance et C2 dead-drop via GitHub

• Un démon de persistance se faisant passer pour kitty-monitor est installé comme service utilisateur systemd sur Linux et comme ~/Library/LaunchAgents/com.user.kitty-monitor.plist sur macOS
• L’installateur utilise systemctl --user enable --now et loginctl enable-linger pour assurer la persistance même après la déconnexion
• Le démon cat.py interroge l’API GitHub Search toutes les heures et recherche les commits contenant le mot-clé firedalazer
• Le format du message de commit est firedalazer <base64_url>.<base64_signature>, et après vérification de la signature RSA-PSS avec une clé publique RSA 4096 bits codée en dur, il exécute le code Python de l’URL
• Un démon séparé gh-token-monitor sonde les tokens GitHub volés toutes les 60 secondes, avec un TTL de 24 heures
• Le scanner de mémoire de processus dumpe les régions mémoire lisibles des processus worker de GitHub Actions runner en utilisant /proc/pid/maps+mem sur Linux et ReadProcessMemory sur Windows

Commits usurpant antvis/G2

• 630 des 637 versions malveillantes incluent une entrée optionalDependencies pointant vers un commit spécifique du dépôt antvis/G2

  {
    "optionalDependencies": {
      "@antv/setup": "github:antvis/G2#1916faa365f2788b6e193514872d51a242876569"
    }
  }
  

• Quand npm résout une dépendance github:, il récupère ce commit, cherche package.json, puis exécute les scripts de cycle de vie
• Ce commit contient un package.json déclarant @antv/setup et incluant un script prepare, ainsi qu’un index.js de 499 KB qui ré-obfusque le même payload Shai-Hulud
• Le && exit 1 du script prepare fait échouer l’optional dependency, mais npm ne traite pas cet échec comme fatal, donc l’installation continue
• L’API Git montre trois SHA de commit différents poussés vers antvis/G2, tous détachés de toute branche
• Les trois commits partagent les mêmes métadonnées : author huiyu.zjt <Alexzjt@users.noreply.github.com>, message de commit New Package, aucun parent et aucune signature GPG
• Sans droit d’écriture sur antvis/G2, l’attaquant peut créer un orphan commit de payload dans un fork puis supprimer ce fork, laissant dans le namespace du dépôt parent un commit dont le SHA reste récupérable
• Cette technique est du même type que le problème des commits usurpés dans GitHub Actions documenté par Chainguard, ici appliqué à la résolution des dépendances npm github:

Indicateurs de compromission

• Les paquets publiés par atool (i@hust.cc) entre le 19 mai 2026 01:44 et 02:06 UTC doivent être vérifiés
• Le script preinstall est bun run index.js
• Le SHA256 du payload est a68dd1e6a6e35ec3771e1f94fe796f55dfe65a2b94560516ff4ac189390dfa1c
• Les commits usurpant antvis/G2 sont les suivants
  • 1916faa365f2788b6e193514872d51a242876569 — 626 versions
  • 7cb42f57561c321ecb09b4552802ae0ac55b3a7a — 2 versions
  • dc3d62a2181beb9f326952a2d212900c94f2e13d — 1 version, garbage collected
• Les IoC réseau incluent hxxps://t.m-kosche[.]com/api/public/otel/v1/traces, les requêtes de métadonnées EC2 vers 169.254.169.254 et les requêtes de métadonnées de conteneur ECS vers 169.254.170.2
• Les IoC de dépôt incluent la branche chore/add-codeql-static-analysis, le workflow Run Copilot et .github/workflows/codeql.yml qui dump toJSON(secrets) dans format-results.txt
• Les IoC d’environnement de développement incluent le hook SessionStart dans .claude/settings.json, "runOn": "folderOpen" dans .vscode/tasks.json, ainsi que .claude/setup.mjs et .vscode/setup.mjs
• Les IoC de persistance incluent kitty-monitor.service, com.user.kitty-monitor.plist, ~/.local/bin/gh-token-monitor.sh, ~/.local/share/kitty/cat.py, /var/tmp/.gh_update_state

Principaux paquets à vérifier

• Le tableau compromised-packages.csv contient deux colonnes, Package et Compromised Versions, et affiche 317 paquets selon le tableau
• Il faut vérifier dans le lockfile la présence de ces paquets et des versions malveillantes publiées le 2026-05-19
• Principaux paquets @antv et versions malveillantes
  • @antv/g2: 5.5.8, 5.6.8
  • @antv/g6: 5.2.1, 5.3.1
  • @antv/g: 6.4.1, 6.5.1
  • @antv/l7: 2.26.10, 2.27.10
  • @antv/x6: 3.2.7, 3.3.7
  • @antv/s2: 2.8.1, 2.9.1
  • @antv/f2: 5.15.0, 5.16.0
• Paquets npm généraux et versions malveillantes
  • echarts-for-react: 3.0.7, 3.1.7, 3.2.7
  • size-sensor: 1.0.4, 1.1.4, 1.2.4
  • jest-canvas-mock: 2.5.3, 2.6.3, 2.7.3
  • jest-date-mock: 1.0.11, 1.1.11, 1.2.11
  • timeago.js: 4.1.2, 4.2.2
  • timeago-react: 3.1.7, 3.2.7
  • @lint-md/cli: 2.1.0, 2.2.0
  • @lint-md/core: 2.1.0, 2.2.0
  • @lint-md/parser: 0.1.14, 0.2.14

Réponse et défense

• Si une version compromise a été installée, il faut remplacer les jetons npm, les GitHub PAT, les clés AWS, les clés SSH, les identifiants cloud, les mots de passe de base de données, les jetons Vault, les jetons de service account Kubernetes et les secrets du gestionnaire de mots de passe local qui étaient accessibles depuis l’environnement de build
• t.m-kosche[.]com doit être bloqué au niveau du réseau et du DNS
• Il faut vérifier si des dépôts publics non autorisés ont été créés sous des comptes GitHub disposant de jetons accessibles depuis l’environnement de build
• Il faut examiner les publications de paquets non autorisées et les journaux d’échange de jetons npm OIDC dans les pipelines CI
• Il faut vérifier les journaux de transparence Sigstore pour repérer d’éventuels artifacts signés créés avec une identité CI compromise
• Dans les projets Node.js locaux, il faut vérifier les hooks .claude/settings.json, les tâches d’exécution automatique .vscode/tasks.json, .claude/setup.mjs et .vscode/setup.mjs
• Il faut supprimer le service utilisateur systemd kitty-monitor et le LaunchAgent com.user.kitty-monitor, puis vérifier la présence de ~/.local/share/kitty/cat.py, /var/tmp/.gh_update_state et ~/.local/bin/gh-token-monitor.sh
• Il faut épingler les dépendances ou utiliser un lockfile afin que la résolution des plages semver ne mène pas à une version malveillante
• Il faut auditer l’exposition du socket Docker et l’accès aux métadonnées EC2 dans les pipelines CI/CD, et envisager une limitation du hop limit d’IMDSv2
• Package Manager Guard (pmg) est un proxy d’installation open source qui compare les paquets à la threat intelligence avant l’exécution de preinstall
• dependency cooldown rejette les versions déployées dans une fenêtre de temps configurable, ce qui peut réduire les vagues de déploiement soudaines où une plage semver se résout vers une nouvelle release malveillante
• vet peut détecter des mises à jour anormales de paquets, comme un hook preinstall inattendu, une forte hausse de taille ou un changement de maintainer, avant qu’elles n’atteignent les pipelines CI/CD
• L’ampleur de l’impact — 547 paquets sous un seul compte et plus de 314 paquets militarisés en une seule session — met en évidence une faiblesse structurelle du modèle de confiance de npm

Références

• Shai-Hulud Goes Open Source: Static Analysis of the Framework — Datadog Security Labs
• The Shai-Hulud Code Drop — ReversingLabs