Une campagne de logiciels malveillants furtive connue sous le nom de "Shai-Hulud" infiltre les chaînes de développement, représentant une menace significative pour les portefeuilles cryptographiques et les identifiants cloud. Les chercheurs ont identifié environ 320 paquets malveillants dans les dépôts NPM et PyPI, totalisant plus de 518 millions de téléchargements mensuels. Le malware exploite les chaînes d'outils automatisées, s'intégrant dans des paquets et pipelines de construction de confiance, rendant la détection difficile jusqu'à ce que les dégâts surviennent. Parmi les incidents récents, on compte l'insertion de code malveillant dans un paquet Mistral AI sur PyPI et des infections sur les appareils des employés d'OpenAI, qui ont brièvement exposé des dépôts de code internes. La campagne, liée au groupe cybercriminel TeamPCP, a également ciblé TanStack, un framework JavaScript populaire. Les sociétés de sécurité rapportent que des paquets imitatifs circulent, volant des identifiants cloud et de portefeuilles cryptographiques et recrutant des machines dans des botnets DDoS. Les experts avertissent que la surface d'attaque pour les projets blockchain et crypto inclut les machines des développeurs et les systèmes CI/CD. Les défenses recommandées comprennent un contrôle plus strict des dépendances, des mesures de publication renforcées et un scan automatisé des paquets malveillants. La campagne Shai-Hulud souligne la nécessité de mesures de sécurité robustes dans les chaînes de développement pour protéger contre les fonds compromis.