L'écosystème open source est à nouveau sous le feu des critiques. Suite au récent incident impliquant la bibliothèque tinycolor , les chercheurs en sécurité de Socket ont découvert qu'un ver auto-réplicateur s'était infiltré dans le registre npm. Il a infecté plus de 300 paquets en exploitant les mécanismes de réplication et de publication automatiques de la bibliothèque. Les attaquants ont utilisé une technique basée sur la fonction NpmModule.updatePackage, injectée dans les paquets compromis. La procédure d'infection consistait à télécharger l'archive tar d'une nouvelle victime, à modifier le fichier package.json, à ajouter un script bundle.js malveillant, à repackager l'archive et à la publier dans le registre npm à l'aide d'un jeton volé. Cela a permis au ver d'étendre rapidement et de manière autonome son influence. Un élément clé était la capacité du logiciel malveillant à exploiter des variables d'environnement comme NPM_TOKEN. Ces identifiants ont permis la propagation de l'infection via d'autres comptes compromis.

Selon Socket, un compte appartenant à CrowdStrike figurait parmi les personnes compromises. Certaines de ses bibliothèques publiées dans le registre ont été modifiées et contenaient du code malveillant. L'entreprise a rapidement supprimé les versions problématiques et modifié les identifiants de connexion, mais l'attaque a révélé l'ampleur du risque auquel la communauté open source était confrontée. Les paquets fréquemment concernés incluent @ctrl/tinycolor, ngx-toastr, @crowdstrike/glide-core, angulartics2, eslint-config-crowdstrike et @nativescript-community/ui-collectionview. Cependant, la liste est bien plus longue et le processus d'identification est toujours en cours. La campagne a été baptisée Shai-Hulud, en référence directe aux vers de sable géants du roman Dune. Ce nom est dérivé des fichiers de workflow shai-hulud.yaml présents dans le malware. Le ver utilisait également l'outil TruffleHog pour rechercher et valider les identifiants avant de les envoyer à un webhook externe.

L'ampleur de l'attaque exige que chaque utilisateur de l'écosystème npm examine ses projets afin de s'assurer qu'il n'utilise pas de versions compromises des bibliothèques. Les paquets infectés peuvent non seulement contenir du code malveillant, mais aussi entraîner des fuites d'identifiants. Il est recommandé de supprimer immédiatement les dépendances suspectes, de revenir aux versions vérifiées et de renouveler tous les jetons et clés potentiellement exposés. Cela concerne non seulement les jetons npm, mais aussi les identifiants GitHub, les clés SSH et les identifiants cloud AWS, Google Cloud et Azure.