Mini Shai-Hulud frappe encore : 317 paquets npm compromis
Mini Shai-Hulud Strikes Again: 314 npm Packages Compromised

Le compte npm atool a été piraté pour publier 637 versions malveillantes en 22 minutes. Cette attaque, utilisant le toolkit Mini Shai-Hulud, cible les clés AWS, GitHub et Kubernetes via des scripts obfusqués. Les attaquants exploitent des hooks preinstall et des commits fantômes pour voler des données et persister dans les environnements CI/CD, contournant même les protections Sigstore.
"La résolution de version sémantique de npm choisit la version la plus élevée correspondant à une plage, indépendamment de l'étiquette latest, ce qui signifie qu'aucune protection n'est offerte."