Empoisonnement de nos forges et postes de dev?

setop · May 14, 2026, 10:08pm

Le 11 mai, le projet Tanstack a été victime d’une attaque par chaîne d’approvisionnement.

L’attaquant est parvenu a faire une publication de leurs packages qui embarque un script malveillant.

Le script s’exécute lors d’un npm install de ces packages et 1/ vol tous les secrets qu’il peut trouver 2/ si il trouve des tokens github ou npm, fait des publications de packages incluant son code (réplication). Il se serait répliqué à plusieurs autres packages hors Tanstack.

Pour référence, il a été nommé ‹ mini shai hulud › en référence aux vers des sables dans Dunes.

Est-ce que vous pensez que nos postes ou nos forges - framagit, autre gitlab, gitiea, Forgejo et autre - ont pu être infecté ? Comment en avoir le cœur net ? Comment nettoyer proprement ?

setop · May 16, 2026, 1:32pm

J’ai trouvé une source qui donne une liste plus précise des packages incriminés ; sans garantie d’exhaustivité.

Je ne trouve aucune intersection avec les packages utilisés par Mobilizon, par chance.

comm -1 -2 \
  <(awk -F'\t' '{print $1}' ~/Desktop/mini-shai-hulud-packages.tsv | sort -u) \
  <(npm list --all --parseable --long 2>/dev/null | awk -F: '{print $2}' | awk -F@ '{$NF="";print (NF==3 ? "@": "") $1 $2 $3}' | sort -u)