SlowMist avertit que l’attaque de la chaîne d’approvisionnement Shai-Hulud 3.0 est de retour

La société de cybersécurité SlowMist a publié une nouvelle alerte après avoir détecté le retour de l’attaque de la chaîne d’approvisionnement Shai-Hulud, désormais identifiée comme la version 3.0. L’avertissement émane du directeur de la sécurité des systèmes d’information de SlowMist, connu sous le pseudonyme 23pds, qui appelle les équipes et plateformes Web3 à renforcer immédiatement leurs défenses. Selon l’alerte, cette nouvelle variante cible l’écosystème NPM, un gestionnaire de paquets largement utilisé dans le développement logiciel moderne.

Les attaques de ce type permettent à du code malveillant de se propager via des bibliothèques open source de confiance, souvent sans que les développeurs s’en rendent compte. De ce fait, même une infection limitée peut rapidement se diffuser à grande échelle sur plusieurs projets. SlowMist rappelle que des incidents antérieurs, dont une fuite de clé API liée à Trust Wallet, pourraient provenir d’une version précédente de Shai-Hulud. La réapparition de ce malware alimente les craintes de voir les attaquants affiner et redéployer des techniques déjà éprouvées.

Ce qui distingue Shai-Hulud 3.0

Selon les chercheurs en sécurité, Shai-Hulud 3.0 présente des évolutions techniques nettes par rapport aux versions précédentes. Des analyses menées par des chercheurs indépendants indiquent que le malware utilise désormais des noms de fichiers différents. Il a également modifié la structure de ses charges utiles et amélioré sa compatibilité entre systèmes d’exploitation. Cette nouvelle souche aurait supprimé un ancien « dead man switch », un mécanisme capable de désactiver le malware dans certaines conditions. Si cette suppression réduit certains risques, elle suggère aussi que les attaquants simplifient l’exécution pour échapper à la détection.

Les chercheurs ont également observé que le malware semble être obfusqué à partir du code source original, plutôt que copié directement. Ce détail laisse penser à un accès à des matériaux d’attaques antérieurs et pointe vers un acteur plus sophistiqué. Les premières conclusions font état d’une propagation encore limitée, ce qui suggère que les attaquants pourraient toujours tester la charge utile.

Des paquets NPM actifs sous enquête

Le chercheur indépendant en sécurité Charlie Eriksen a confirmé que son équipe enquête activement sur cette nouvelle souche. Selon des informations rendues publiques, le malware a été détecté au sein d’un paquet NPM spécifique, déclenchant un examen approfondi des dépendances associées. L’enquête montre que le malware tente d’extraire des variables d’environnement, des identifiants cloud et des fichiers secrets. Ces données sont ensuite envoyées vers des dépôts contrôlés par les attaquants. Ces techniques sont cohérentes avec les précédentes attaques Shai-Hulud, mais révèlent une séquence d’exécution et une gestion des erreurs plus abouties. À ce stade, les chercheurs indiquent qu’il n’existe aucune preuve de compromission à grande échelle. Ils avertissent toutefois que les attaques de la chaîne d’approvisionnement ont tendance à s’étendre rapidement une fois la stabilité confirmée.

Le secteur appelé à renforcer la sécurité des dépendances

SlowMist conseille aux équipes de projets d’auditer leurs dépendances, de verrouiller les versions des paquets et de surveiller les comportements réseau anormaux. Les développeurs sont également encouragés à examiner leurs pipelines de build et à limiter l’accès aux identifiants sensibles. La société souligne que les menaces pesant sur la chaîne d’approvisionnement restent parmi les risques les plus sous-estimés dans le Web3 et les logiciels open source. Même des plateformes bien sécurisées peuvent se retrouver exposées via des bibliothèques tierces. Alors que les investigations se poursuivent, les experts en sécurité appellent à la prudence plutôt qu’à la panique. Ils s’accordent néanmoins sur un point : Shai-Hulud 3.0 rappelle clairement que les chaînes d’approvisionnement logicielles demeurent des cibles de premier plan.