Les chercheurs en cybersécurité ont révélé des détails sur ce qui semble être une nouvelle souche de Shai Hulud dans le registre npm avec de légères modifications par rapport à la vague précédente observée le mois dernier.
Le package npm qui intègre la nouvelle variété Shai Hulud est « @vietmoney/react-big-calendar », qui a été téléchargé sur npm en mars 2021 par un utilisateur nommé « hoquocdat ». Il a été mis à jour pour la première fois le 28 décembre 2025 vers la version 0.26.2. Le package a été téléchargé 698 fois depuis sa version initiale. La dernière version a été téléchargée 197 fois.
L'Aïkido, qui a détecté le paquet, a déclaré n'avoir détecté aucune propagation ou infection majeure après la sortie du paquet.
“Cela suggère que nous avons peut-être surpris les attaquants en train de tester leur charge utile”, a déclaré le chercheur en sécurité Charlie Eriksen. “Les différences dans le code suggèrent qu'il a été masqué à nouveau par rapport à la source originale, et non modifié sur place. Cela rend très improbable qu'il s'agisse d'une copie, mais plutôt qu'il a été créé par quelqu'un qui avait accès au code source original du ver.”
L'attaque Shai-Hulud a été révélée pour la première fois en septembre 2025, lorsque des chevaux de Troie npm ont été découverts en train de voler des données sensibles telles que des clés API, des informations d'identification cloud et des jetons npm et GitHub, et de les exfiltrer vers les référentiels GitHub à l'aide des jetons volés. Lors de la deuxième vague détectée en novembre 2025, les référentiels contenaient la description « Sha1-Hulud : The Second Coming ».
Mais l'aspect le plus important de la campagne est sa capacité à militariser les jetons npm pour récupérer 100 autres packages téléchargés associés au développeur, introduire les mêmes modifications malveillantes et les transmettre à npm, élargissant ainsi l'ampleur de la compromission de la chaîne d'approvisionnement semblable à un ver.
La nouvelle variété arrive avec des changements notables.
- Le fichier initial s'appelle désormais “bun_installer.js” et la charge utile principale est nommée “environment_source.js”.
- Les référentiels GitHub dans lesquels les secrets ont été divulgués comportent la description « Goldox-T3chs : Only Happy Girl ».
- Les noms des fichiers contenant les secrets sont : 3nvir0nm3nt.json, cl0vd.json, c9nt3nts.json, pigS3cr3ts.json et actionSecrets.json.
- Suppression du « commutateur homme mort » qui entraînait l'exécution d'un nettoyeur si les jetons GitHub ou npm n'étaient pas jugés abusifs pour des fuites de données et l'auto-réplication.
D'autres modifications importantes incluent une meilleure gestion des erreurs lorsque le scanner d'informations d'identification de TruffleHog expire, une publication améliorée des packages basés sur le système d'exploitation et des ajustements de l'ordre dans lequel les données sont collectées et enregistrées.
Le faux package Jackson JSON Maven lance une balise d'attaque Cobalt
Ce développement intervient alors que la société de sécurité de la chaîne d'approvisionnement a déclaré avoir identifié un package malveillant (« org.fasterxml.jackson.core/jackson-databind ») dans Maven Central qui se fait passer pour une extension légitime de la bibliothèque Jackson JSON (« com.fasterxml.jackson.core »), mais intègre une chaîne d'attaque à plusieurs étapes qui fournit des exécutables spécifiques à la plate-forme. Le paquet a depuis été supprimé.
À l'intérieur du fichier Java Archive (JAR) se trouve un code fortement obscurci qui entre en jeu une fois qu'un développeur sans méfiance ajoute la dépendance malveillante à son fichier “pom.xml”.
“Lorsque l'application Spring Boot démarre, Spring recherche les classes @Configuration et trouve JacksonSpringAutoConfiguration”, a déclaré Eriksen. “La vérification @ConditionalOnClass({ApplicationRunner.class}) réussit (ApplicationRunner est toujours présent dans Spring Boot), donc Spring enregistre la classe en tant que bean. ApplicationRunner du malware est automatiquement invoqué après le chargement du contexte d'application. Aucun appel explicite n'est requis.”
Le malware recherche ensuite un fichier appelé « .idea.pid » dans le répertoire de travail. Le choix du nom de fichier est intentionnel et est conçu pour être combiné avec les fichiers du projet IntelliJ IDEA. Si un tel fichier existe, cela indique au logiciel malveillant qu'une instance de lui-même est déjà en cours d'exécution, ce qui entraîne son arrêt silencieux.
À l'étape suivante, le malware vérifie le système d'exploitation et contacte un serveur externe (“m.fasterxml[.]org:51211”) pour obtenir une réponse cryptée contenant les URL d'une charge utile qui sera téléchargée en fonction du système d'exploitation. La charge utile est une balise Cobalt Strike, un outil de simulation d'adversaire légitime qui peut être utilisé abusivement à des fins de post-exploitation et de commandement et de contrôle.
Sous Windows, il est configuré pour télécharger et exécuter un fichier appelé « svchosts.exe » à partir de « 103.127.243[.]82:8000″, tandis qu'une charge utile appelée “mise à jour” est téléchargée à partir du même serveur pour les systèmes Apple macOS.
Une analyse plus approfondie a révélé que le domaine typosquatté le plus rapidement[.]org a été enregistré via GoDaddy le 17 décembre 2025, juste une semaine avant la détection du package Maven malveillant.
“Cette attaque a profité d'un angle mort spécifique : les échanges de préfixes de type TLD dans la convention d'espace de noms de domaine inversé de Java”, a déclaré Eriksen. “La bibliothèque Jackson légitime utilise com.fasterxml.jackson.core, tandis que le package malveillant utilise org.fasterxml.jackson.core.”
Le problème, selon Aikido, vient de l'incapacité de Maven Central à détecter les packages copiés qui utilisent des préfixes similaires à leurs homologues légitimes pour inciter les développeurs à les télécharger. Il est recommandé aux responsables du référentiel de packages d'envisager de marquer ces packages pour examen, de maintenir une liste des espaces de noms de grande valeur et de soumettre tous les packages publiés sous des espaces de noms similaires à une vérification supplémentaire pour garantir leur légitimité.