TechFlow rapporte que, le 25 juin, SlowMist a publié une alerte d’information sur les menaces indiquant qu’une nouvelle variante de logiciel malveillant npm — Shai-Hulud / Miasma / Hades — liée au compte développeur npm compromis « czirker », est en train d’affecter l’écosystème npm. Cette campagne d’attaque déclenche son exécution lors de l’installation d’un paquet via la commande npm install, grâce à un fichier binding.gyp préconfiguré. À ce jour, 23 paquets ont été confirmés comme infectés, dont leo-logger, téléchargé environ 3 140 fois par semaine. Au moment de la publication de cette alerte, 408 dépôts GitHub avaient déjà été identifiés comme compromis suite au vol de leurs identifiants.
Les actions potentielles menées par les attaquants comprennent : le vol de jetons GitHub et npm, le vol d’identifiants cloud AWS / GCP / Azure, le vol de données locales de l’environnement, l’abus des workflows GitHub, ainsi que la propagation supplémentaire d’attaques ciblant la chaîne d’approvisionnement npm. SlowMist recommande aux équipes de sécurité de vérifier immédiatement les fichiers lock et les historiques de versions des paquets, de rétrograder ou supprimer les paquets concernés, de renouveler les clés d’accès npm, GitHub, des services cloud, des systèmes CI/CD et des applications, et d’activer impérativement l’authentification à deux facteurs.
