Le CERT-FR recommande donc de rechercher la présence de :
- paquets compromis, notamment dans les fichiers de dépendances (ex. package-lock.json, yarn.lock, pnpm-lock.yaml, requirements.txt, poetry.lock, etc.) ;
- moyens de persistance du code malveillant ;
- traces de compromissions laissées par l'attaquant ;
- communications avec l'infrastructure de l'attaquant.
Des marqueurs sont présents dans les rapports [1], [2] et [3], ils n'ont cependant pas été pleinement qualifiés par l'ANSSI.
En cas de compromission avérée, il convient de :
- mettre fin au daemon malveillant ;
- retirer les moyens de persistance ;
- désinstaller les paquets compromis ;
- changer TOUS les secrets présents sur la machine infectée ;
Le 13 mai 2026, le code source de Shai‑Hulud a été publié par TeamPCP sur le forum cybercriminel Breached[.]st ; il est donc probable que plusieurs autres acteurs cybercriminels utilisent ce code. L’ANSSI a connaissance de plusieurs victimes françaises actuellement affectées par cette campagne.
Liens :
- [1] https://www.cyberchief.ai/2026/05/mini-shai-hulud-breach-practical.html
- [2] https://snyk.io/fr/blog/mini-shai-hulud-antv-npm-supply-chain-attack/
- [3] https://www.microsoft.com/en-us/security/blog/2026/05/20/mini-shai-hulud-compromised-antv-npm-packages-enable-ci-cd-credential-theft/
- https://semgrep.dev/blog/2026/children-of-shai-hulud-an-analysis-of-the-the-evolution-delivery-and-spread-of-the-tanstack-shai-hulud-campaign/
- https://unit42.paloaltonetworks.com/fr/teampcp-supply-chain-attacks/
- https://grafana.com/blog/grafana-labs-security-update-latest-on-tanstack-npm-supply-chain-ransomware-incident/
- https://x.com/github/status/2056949168208552080
- https://cert.ssi.gouv.fr/actualite/CERTFR-2025-ACT-040/
- https://cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-022/
- https://cert.ssi.gouv.fr/actualite/CERTFR-2025-ACT-051/
Rappel des publications émises
Dans la période du 18 mai 2026 au 24 mai 2026, le CERT-FR a émis les publications suivantes :
- CERTFR-2026-AVI-0607 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2026-AVI-0608 : Multiples vulnérabilités dans Microsoft Azure Linux
- CERTFR-2026-AVI-0609 : Multiples vulnérabilités dans GLPI
- CERTFR-2026-AVI-0610 : Multiples vulnérabilités dans les produits Mattermost
- CERTFR-2026-AVI-0611 : Vulnérabilité dans Microsoft Azure
- CERTFR-2026-AVI-0612 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2026-AVI-0613 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2026-AVI-0614 : Multiples vulnérabilités dans Suricata
- CERTFR-2026-AVI-0615 : Multiples vulnérabilités dans les produits Mozilla
- CERTFR-2026-AVI-0616 : Vulnérabilité dans Wireshark
- CERTFR-2026-AVI-0617 : Multiples vulnérabilités dans Symfony
- CERTFR-2026-AVI-0618 : Multiples vulnérabilités dans ISC BIND
- CERTFR-2026-AVI-0619 : Vulnérabilité dans F5 NGINX
- CERTFR-2026-AVI-0620 : Multiples vulnérabilités dans Docker
- CERTFR-2026-AVI-0621 : Multiples vulnérabilités dans les produits Atlassian
- CERTFR-2026-AVI-0622 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2026-AVI-0623 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2026-AVI-0624 : Multiples vulnérabilités dans Progress MOVEit Automation
- CERTFR-2026-AVI-0625 : Multiples vulnérabilités dans les produits Apereo
- CERTFR-2026-AVI-0626 : Multiples vulnérabilités dans ISC BIND
- CERTFR-2026-AVI-0627 : Multiples vulnérabilités dans les produits Splunk
- CERTFR-2026-AVI-0628 : Vulnérabilité dans Cisco Secure Workload
- CERTFR-2026-AVI-0629 : Vulnérabilité dans Drupal
- CERTFR-2026-AVI-0630 : Multiples vulnérabilités dans Tenable Sensor Proxy
- CERTFR-2026-AVI-0631 : Vulnérabilité dans Stormshield Network Security
- CERTFR-2026-AVI-0632 : Multiples vulnérabilités dans les produits Mattermost
- CERTFR-2026-AVI-0633 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2026-AVI-0634 : Vulnérabilité dans les produits Microsoft
- CERTFR-2026-AVI-0635 : Vulnérabilité dans SPIP
- CERTFR-2026-AVI-0636 : Vulnérabilité dans le noyau Linux de Debian LTS
- CERTFR-2026-AVI-0637 : Multiples vulnérabilités dans le noyau Linux de Debian
- CERTFR-2026-AVI-0638 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
- CERTFR-2026-AVI-0639 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2026-AVI-0640 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2026-AVI-0641 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2026-AVI-0642 : Multiples vulnérabilités dans les produits Trend Micro
Dans la période du 18 mai 2026 au 24 mai 2026, le CERT-FR a mis à jour les publications suivantes :
- CERTFR-2026-AVI-0515 : Multiples vulnérabilités dans MISP
- CERTFR-2026-AVI-0574 : Multiples vulnérabilités dans Google Chrome
