Le malware **Shai-Hulud**, divulgué la semaine dernière, est désormais exploité dans de nouvelles attaques ciblant l'index **Node Package Manager (npm)**, avec des paquets infectés apparaissant au cours du week-end. Un acteur de la menace opérant sous le compte *deadcode09284814* a publié quatre paquets malveillants sur npm. L'un de ces paquets intégrait une version non obfusquée de **Shai-Hulud**, ciblant les identifiants des développeurs, les secrets, les données des portefeuilles de cryptomonnaies et les informations de compte. Tous les paquets malveillants étaient conçus pour exfiltrer des informations sensibles, telles que les identifiants et les fichiers de configuration. Un paquet est allé plus loin, transformant le système compromis en un bot pour des attaques par déni de service distribué (DDoS). ### Attaque par Typosquatting Des chercheurs d'**OXsecurity**, une entreprise spécialisée dans la sécurité des applications, ont découvert ces téléversements malveillants. L'acteur de la menace a utilisé des techniques de typosquatting, en utilisant des noms mal orthographiés pour cibler les utilisateurs d'**Axios**, ainsi que quelques noms génériques : 1. **chalk-tempalte** – Clone de Shai-Hulud (voleur d'informations) 2. **@deadcode09284814/axios-util** – Voleur d'identifiants et de configurations cloud 3. **axois-utils** – Infostealer + botnet DDoS persistant ("phantom bot") 4. **color-style-utils** – Infostealer basique ciblant les portefeuilles crypto et les informations IP Selon les chercheurs, le paquet *chalk-tempalte* contient un clone du malware **Shai-Hulud**, précédemment attribué au groupe de hackers **TeamPCP**, responsable de la récente [attaque de la chaîne d'approvisionnement logicielle Mini Shai-Hulud](https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/). Le malware a fait surface sur **GitHub** la semaine dernière, accompagné d'un message prétendument de **TeamPCP** : "Here We Go Again - Let the Carnage Continue. A Gift from TeamPCP." Le paquet *chalk-tempalte* marque la première instance documentée d'un clone de **Shai-Hulud** déployé sur npm. Cependant, **OXsecurity** note qu'il s'agit d'un exemple basique, essentiellement une copie non modifiée du code source divulgué, dépourvue de toute mesure de protection. "Une preuve accablante que cet acteur est différent de **TeamPCP**, est que le code du malware **Shai-Hulud** est une copie quasi exacte du code source divulgué, sans techniques d'obfuscation, ce qui rend la version finale visuellement différente de l'original", explique **OXsecurity**. Le malware vole les identifiants, les secrets, les données des portefeuilles crypto et les informations de compte, les exfiltrant vers un serveur de commande et de contrôle (C2) à l'adresse 87e0bbc636999b[.]lhr[.]life. Le code conserve la fonctionnalité de publication sur **GitHub**, téléchargeant automatiquement les identifiants volés vers des dépôts publics générés automatiquement. ### Capacités DDoS Parmi les quatre paquets, *axois-utils* se distingue par l'inclusion de capacités DDoS, en plus de la fonctionnalité de vol d'informations commune aux quatre paquets. Le paquet prend en charge les inondations HTTP, TCP et UDP, ainsi que les attaques par réinitialisation TCP. Les chercheurs ont également découvert des références internes à un "phantom bot".  **Code d'attaque DDoS** *Source : OXsecurity* La [campagne Shai-Hulud](https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/) a connu plusieurs itérations [depuis septembre 2025](https://www.bleepingcomputer.com/news/security/self-propagating-supply-chain-attack-hits-187-npm-packages/), compromettant les données des développeurs en injectant du malware dans des projets légitimes. Les identifiants volés pour les comptes disposant des droits de publication ont ensuite été utilisés pour exposer les informations exfiltrées dans des dépôts **GitHub** publics. Ces campagnes ont été attribuées au groupe de hackers **TeamPCP**. Dans un rapport précédent, **OXsecurity indique** que les acteurs de la menace ont rapidement copié le code source du malware et ont commencé à le modifier pour étendre ses capacités. Les chercheurs conseillent aux développeurs ayant téléchargé des paquets npm infectés de les supprimer immédiatement et de faire pivoter leurs identifiants et clés d'API sur les systèmes affectés. **OXsecurity** rapporte que les quatre paquets avaient un nombre de téléchargements combiné de 2 678.