Le 29 avril 2026, des chercheurs en sécurité (Aikido, Socket, Wiz) ont détecté une compromission de plusieurs packages « npm » officiels de SAP, utilisés pour le développement d'applications cloud (CAP) et la gestion d'archives multi-cibles (MTA). Cette attaque de chaîne d'approvisionnement, baptisée "mini Shai-Hulud", est attribuée au groupe "TeamPCP". Les attaquants ont injecté un script malveillant de type "preinstall" qui s'exécute automatiquement lors de l'installation du package. L'objectif principal est le vol massif des identifiants de développeurs et de secrets d'environnements CI/CD.

Cette attaque présente un niveau de sophistication élevé et un fort potentiel de diffusion au sein des environnements compromis. En conséquence, toute installation ou utilisation des versions affectées doit être considérée comme un incident de sécurité critique nécessitant une réponse immédiate.

Le code injecté:

• Exécute un script « setup.mjs » qui télécharge le runtime JavaScript « Bun » depuis GitHub pour exécuter le payload ;

• Déploie un payload (execution.js) obfusqué conçu pour l'exfiltration des données ;

• Cible spécifiquement les secrets CI/CD en lisant directement la mémoire des processus (/proc/<pid>/mem);

• Collecte des tokens npm, GitHub, des clés SSH, ainsi que des accès cloud (AWS, Azure, GCP) et des configurations Kubernetes ;

• Extrait les mots de passe stockés dans les navigateurs (Chrome, Safari, Edge, Brave) ;

• Exfiltre les données vers des dépôts GitHub publics créés sur le compte de la victime avec la description "A Mini Shai-Hulud has Appeared".