SlowMist : Les équipes de projet doivent se méfier de la dernière variante des attaques de la chaîne d'approvisionnement NPM, Shai-Hulud 3.

Le directeur de la sécurité de l'information de SlowMist Technology, 23pds, a publié une alerte de sécurité : la dernière variante de l'attaque de la chaîne d'approvisionnement NPM, "Shai-Hulud 3", est de retour. Toutes les équipes de projet et plateformes sont invitées à renforcer leur vigilance. Auparavant, la fuite présumée de la clé API de Trust Wallet pourrait avoir été causée par l'attaque Shai-Hulud 2. Shai-Hulud est une série d'attaques de la chaîne d'approvisionnement, de type ver auto-répliquant, ciblant l'écosystème NPM, utilisées pour voler les identifiants des développeurs, les clés cloud et les secrets d'environnement. La dernière variante (appelée par la communauté Shai-Hulud 3 ou nouvelle souche) a été découverte par le chercheur en sécurité d'Aikido Security, Charlie Eriksen, le 28 décembre 2025. Actuellement, la propagation reste limitée et pourrait n'en être qu'à la phase de test.