Stateward aurait-il attrapé le ver npm Shai-Hulud ?
Ce qui s’est passé
Le premier ver npm auto-répliquant : une release compromise de @ctrl/tinycolor a moissonné les identifiants des développeurs, republié des versions piégées de chaque paquet maintenu par la victime, et s’est propagé à plus de 500 paquets — exfiltrant des secrets vers des webhooks d’attaquants et un workflow GitHub Actions malveillant.
La réponse honnête
En partie, et via plusieurs moteurs. Les schémas de script d’installation malveillant et d’exfiltration de secrets sont exactement ce que surveillent les moteurs supply-chain et secrets de Stateward ; les releases piégées correspondent à OSV/CISA-KEV une fois les avis publiés, et le monitoring fait remonter en priorité les éléments exploités dans la nature. La couverture instantanée au moment où une toute nouvelle release sort dépend du délai des avis — aucun scanner n’est omniscient — mais le workflow GitHub Actions malveillant et la moisson d’identifiants sont des signaux détectables, pas invisibles.
Stateward vérifie chaque dépendance ajoutée ou modifiée contre les avis OSV.dev sur npm, PyPI, crates.io, Maven, Go, RubyGems, Composer et NuGet, et — avec la base de connaissances activée — vous dit si le code vulnérable est réellement atteignable depuis votre projet, pas seulement présent dans le lockfile.
Conçu pour mériter votre confiance
Lecture seule & éphémère
Stateward commente, sans jamais pousser, fusionner ou stocker vos clés.
Hébergement souverain UE
Code et données restent hébergés en UE via Citadea — pensé pour NIS2, DORA et le CRA.
Conscient de tout le code
Raisonne sur le graphe d’appels et les frontières de confiance, pas seulement le diff.
Stateward est en bêta et recrute des partenaires de conception. Conçu par Yggdrasil Digital.