Une attaque en chaîne touche les bibliothèques logicielles les plus utilisées
Une campagne malveillante d'envergure, baptisée "Mini Shai-Hulud", a infecté des centaines de paquets open source hébergés sur les principaux registres de logiciels. Ce malware, conçu pour voler des identifiants, s'est infiltré dans des outils de développement largement adoptés, dont les téléchargements hebdomadaires se comptent en millions.
Parmi les bibliothèques ciblées figurent TanStack, UiPath et MistralAI. À lui seul, le paquet React Router de TanStack cumule plus de 12 millions de téléchargements par semaine, exposant ainsi des milliers d'applications d'entreprise à ce risque. TanStack a confirmé avoir retiré toutes les versions compromises de son registre, bien qu'aucune preuve de vol de mots de passe n'ait été détectée.
Une faille systémique dans l'automatisation des mises à jour
Cette attaque met en lumière une vulnérabilité majeure dans les processus automatisés de publication de logiciels. Les mises à jour infectées ont contourné avec succès l'authentification à deux facteurs et possédaient des signatures cryptographiques valides, attestant de leur origine légitime. Pourtant, ces signatures n'ont pas permis de détecter que les pipelines CI/CD avaient été manipulés pour autoriser l'injection de code malveillant.
Le groupe TeamPCP, maître des attaques par chaîne d'approvisionnement
Les chercheurs en cybersécurité attribuent cette campagne au groupe TeamPCP, une organisation cybercriminelle spécialisée dans les attaques automatisées contre les infrastructures cloud. Active depuis fin 2025, cette cellule se distingue par son expertise dans l'exploitation des environnements natifs du cloud, notamment Docker et Kubernetes.
TeamPCP, déjà suspecté d'avoir développé le malware Shai Hulud, est réputé pour sa capacité à dissimuler ses activités. Les pirates utilisent des techniques sophistiquées, comme le camouflage de données volées sous forme de trafic de messagerie anonyme, et des tactiques d'extorsion agressives. Leurs menaces incluent l'effacement complet des systèmes des victimes en cas de tentative de suppression de leur accès.
Un mécanisme d'infection sophistiqué et furtif
Les attaquants ont exploité une "commit orphelin" — un code poussé vers un fork de dépôt sans branche associée — pour déclencher le processus de publication automatisé. Cette méthode leur a permis de profiter de permissions trop larges dans les workflows GitHub Actions.
Le malware a ensuite été distribué via une dépendance cachée qui récupérait un payload de 2,3 Mo, fortement obfusqué et présenté comme un module d'initialisation. Une fois exécuté, le code malveillant utilise Bun, un moteur JavaScript haute performance, pour voler systématiquement des clés de sécurité et des mots de passe. Ses cibles incluent les infrastructures cloud critiques comme AWS, Google Cloud Platform, Kubernetes et HashiCorp Vault.
Le malware est conçu pour infiltrer les réseaux cloud Amazon hautement sécurisés, tout en recherchant sur l'ordinateur du développeur des fichiers secrets et des clés SSH permettant d'accéder à d'autres systèmes d'entreprise. Fonctionnant comme un ver auto-reproducteur, il se propage en publiant des copies de lui-même dans d'autres projets, en imitant les commits automatisés du bot Anthropic Claude.
Une menace limitée mais aux conséquences potentiellement dévastatrices
Malgré la dangerosité du malware, les chercheurs n'ont observé qu'une propagation limitée au sein de la communauté. "Nous n'avons constaté qu'une très faible diffusion communautaire", a déclaré Charlie Eriksen, chercheur en sécurité chez Aikido Security. Cependant, les experts appellent à une vigilance accrue et à un changement immédiat de tous les identifiants cloud et de développement en cas de téléchargement des outils infectés lundi dernier.
Cette attaque rappelle l'urgence de renforcer les mesures de sécurité dans l'écosystème open source, où la confiance dans les mises à jour automatisées est souvent mise à mal par des acteurs malveillants exploitant les failles de l'automatisation.
Articles connexes
L'IA avancée, une révolution dans la guerre selon un haut responsable du Pentagone
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Cybersécurité : l'identité numérique devient cruciale face à l'essor de l'IA
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn victime d’une cyberattaque : des usines nord-américaines perturbées
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
Une application d'IA analyse les selles : son créateur propose à la vente une base de données de 150 000 images de selles
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
L'IA pulvérise les records en cybersécurité autonome : les nouveaux modèles dépassent toutes les attentes
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
La Chambre des représentants enquête sur l'IA Mythos d'Anthropic et ses risques cyber
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
Fraude et usurpation d'identité par IA : une menace en pleine accélération
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...
OpenAI lance Daybreak : une IA dédiée à la cybersécurité pour contrer les cybermenaces
OpenAI has unveiled Daybreak, a cybersecurity initiative that combines the company’s large language models with its Codex agentic framework to help or...