.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Le 29 avril 2026, des chercheurs en sécurité ont détaillé une campagne connue sous le nom de « mini Shai-Hulud » qui implique des versions compromises de packages npm utilisés dans le Cloud Application Programming Model (CAP) de SAP. Ces malwares contiendraient des fonctionnalités permettant de voler des données sensibles telles que des identifiants. Les données volées sont chiffrées et exfiltrées via des dépôts GitHub publics.
Les maintainers des paquets compromis ont publié des versions mises à jour.
Actions recommandées
Les chercheurs de CTU (Counter Threat Unit™) recommandent aux organisations d'investiguer la présence de versions compromises dans leur environnement. Les organisations doivent également examiner l'activité GitHub, npm et Cloud associée aux identifiants potentiellement exposés et effectuer des rotations des secrets qui ont pu être accessibles.
Les protections de Sophos
Les protections Sophos suivantes sont liées à cette menace :
- JS/Agent-BMAH
- JS/Steal-EAT
Billet inspiré de 'Mini Shai-Hulud' supply chain attack targets SAP npm packages, sur le Blog Sophos.