Les chercheurs préviennent que les packages malveillants peuvent récolter des secrets, militariser les systèmes CI et se propager à travers les projets tout en étant dotés d’un mécanisme d’effacement dormant.
Un énorme ver de chaîne d’approvisionnement npm de style Shai-Hulud frappe l’écosystème logiciel, fouillant les machines des développeurs, les pipelines CI et les outils de codage d’IA.
Les chercheurs de Socket ont découvert la campagne d’attaque active et l’ont appelée SANDWORM_MODE, dérivé des commutateurs de variables d’environnement « SANDWORM_* » intégrés dans la logique de contrôle d’exécution du malware.
Au moins 19 packages typosquattés ont été publiés sous plusieurs alias, se faisant passer pour des utilitaires de développement populaires et des outils liés à l’IA. Une fois installés, les packages exécutent une charge utile en plusieurs étapes qui collecte les secrets des environnements locaux et des systèmes CI, puis utilise les jetons volés pour modifier d’autres référentiels.
La charge utile implémente également un « commutateur mort » de style Shai-Hulud qui reste désactivé par défaut pour déclencher l’effacement du répertoire personnel lorsque le logiciel malveillant est détecté. Les chercheurs ont qualifié la campagne de menace « réelle et à haut risque », conseillant aux défenseurs de considérer les paquets comme des risques de compromission active.
Faute de frappe à la prise de contrôle
La campagne commence par du typosquatting, où les attaquants publient des packages avec des noms presque identiques à ceux légitimes, en misant sur une faute de frappe du développeur ou sur une IA hallucinant de fausses dépendances.
« Le typosquatting cible plusieurs utilitaires de développement à fort trafic dans l’écosystème Node.js, les outils de cryptographie et, peut-être plus particulièrement, les outils de codage d’IA qui connaissent une adoption rapide : trois packages usurpent l’identité de Claude Code et un cible OpenClaw, l’agent viral d’IA qui a récemment dépassé 210 000 étoiles sur GitHub », ont écrit les chercheurs dans un article de blog.
Une fois qu’un package malveillant est installé et exécuté, le logiciel malveillant recherche les informations d’identification sensibles, notamment les jetons npm et GitHub, les secrets d’environnement et les clés cloud. Ces informations d’identification sont ensuite utilisées pour transférer des modifications malveillantes vers d’autres référentiels et injecter de nouvelles dépendances ou flux de travail, élargissant ainsi la chaîne d’infection.
De plus, la campagne utilise une action GitHub militarisée qui pourrait potentiellement amplifier l’attaque à l’intérieur des pipelines CI, extrayant des secrets pendant la construction et permettant une propagation ultérieure, ont ajouté les chercheurs.
Empoisonnement de l’interface du développeur d’IA
La campagne a été spécifiquement signalée pour son ciblage direct des assistants de codage IA. Le malware déploie un serveur MCP (Model Context Protocol) malveillant et l’injecte dans les configurations d’outils d’IA populaires, s’intégrant en tant que composant de confiance dans l’environnement de l’assistant.
Une fois cet objectif atteint, les techniques d’injection rapide peuvent inciter l’IA à récupérer des données locales sensibles, qui peuvent inclure des clés SSH ou des informations d’identification cloud, et à les transmettre à l’attaquant à l’insu de l’utilisateur.
Les chercheurs ont également découvert un moteur polymorphe dormant capable de réécrire le malware via des transformations au niveau du code telles que le renommage des variables, la réécriture du flux de contrôle, l’insertion de code leurre et le codage de chaînes, bien qu’aucune mutation active n’ait été observée lors de l’analyse. Le moteur est compatible avec les modèles hébergés localement via Ollama, mais ne vérifie actuellement que si Ollama s’exécute localement, ont-ils écrit.
La divulgation indique que NPM a déjà renforcé le registre contre les vers de classe Shai-Hulud, renforçant les contrôles autour de l’abus d’informations d’identification exploité par cette campagne. Les jetons de courte durée, l’authentification obligatoire à deux facteurs pour la publication et la « publication de confiance » liée à l’identité de CI sont conçus pour contenir le rayon d’action des secrets volés, bien que leur efficacité dépende en fin de compte de l’ampleur et de la rapidité de l’adoption par le responsable.
