TechFlow rapporte que, le 12 mai, le système de surveillance des menaces MistEye, développé par l’organisme de sécurité blockchain SlowMist (@SlowMist_Team), a détecté un ver npm extrêmement sophistiqué nommé « Mini Shai-Hulud », qui se propage via des projets de développeurs renommés tels que TanStack, UiPath et DraftLab. Les attaquants ont piraté des identifiants GitHub afin de publier des paquets malveillants déguisés en mises à jour légitimes ; ces paquets intègrent un script caché nommé router_init.js, conçu pour s’exécuter silencieusement dans des environnements CI/CD tels que GitHub Actions, afin de voler discrètement les clés CI/CD, les clés d’infrastructure cloud et les informations relatives aux portefeuilles de cryptomonnaies. Les données ainsi collectées sont ensuite exfiltrées en tirant parti de l’infrastructure même de GitHub.
SlowMist a déjà partagé avec ses clients les renseignements relatifs à cette menace (IOC). Il est recommandé aux projets utilisant les paquets logiciels affectés d’inspecter immédiatement leurs pipelines CI/CD afin de détecter la présence éventuelle du fichier router_init.js, de renouveler toutes les identifiants GitHub, les identifiants de services cloud et les identifiants liés aux cryptomonnaies qui auraient pu être exposés, et de surveiller en continu toute activité anormale dans les arrière-plans de leurs environnements de développement.
