急速に拡散するマルウェア キャンペーンが、主要なオープンソースレジストリ全体の数百のソフトウェアパッケージを感染させ、認証情報盗難コードを開発ツールに埋め込みました。開発ツールは週に数百万回ダウンロードされています。
「Mini Shai-Hulud」と呼ばれるこの攻撃は、TanStack、UiPath、MistralAIを含む著名なソフトウェアライブラリをターゲットにしました。TanStackのReact Routerパッケージだけで週に1,200万回以上ダウンロードされており、悪意あるコードが現代のエンタープライズアプリケーションのソフトウェアサプライチェーンの深くに配置されています。
ブログ記事で、Tanstackはセキュリティチームがすべての侵害されたソフトウェアバージョンをレジストリから削除したと述べました。レジストリのパスワードが盗まれたという証拠はありませんが、専門家は月曜日に影響を受けたツールをダウンロードした人に、Amazon Web Services、Google Cloud、GitHubを含む、すべての接続されたクラウド、サーバー、開発者認証情報を直ちに変更するよう促しています。
この事件は自動ソフトウェア公開の体系的な脆弱性を明らかにしています。侵害されたアップデートは二要素認証をバイパスし、暗号的に有効な出所署名を保有していました。これらの署名はパッケージが正しい継続的統合パイプラインから発信されたことを確認しましたが、パイプライン自体が悪意のあるコードを承認するために操作されたことを検出できませんでした。
セキュリティ研究者は、このキャンペーンをTeamPCPに帰しており、これは2025年後半に出現したクラウド焦点のサイバー犯罪グループであり、サプライチェーン攻撃の自動化とDockerおよびKubernetesの環境を含むクラウドネイティブインフラストラクチャの悪用を専門としています。このグループはShai Hulud の以前の開発の責任があると主張されており、信頼されたソフトウェアアップデートに静かにマルウェアを忍び込ませ、セキュリティアラームをトリガーすることなく一度に数千の企業を感染させることができます。
このグループは、盗まれたデータを匿名メッセージトラフィックとして偽装するなど、痕跡を隠すための高度な能力と、被害者がハッカーのアクセスを削除しようとした場合にコンピュータを完全に消去することを脅迫する、その積極的な恐喝戦術で有名です。
攻撃者は「孤立したコミット」を使用して自動リリースプロセスをトリガーしました。これは対応するブランチなしでリポジトリフォークにプッシュされたコードです。これにより、GitHub Actionsワークフロー内の過度に広いパーミッションを悪用することができました。マルウェアは、初期化モジュールとして偽装された大幅に難読化された2.3メガバイトのペイロードを取得する隠蔽された依存関係を介して配信されました。
実行時に、マルウェアはBunを使用します。これはJavaScriptを実行するように設計された高速ソフトウェアエンジンです。セキュリティキーとパスワードを体系的に盗みます。AWS、Google Cloud Platform、Kubernetes、HashiCorp Vaultを含む高レベルのクラウドインフラストラクチャをターゲットにしています。コードは、保護されたAmazonクラウドネットワークに侵入するように設計されています。同時に、開発者のローカルコンピュータをスキャンして、他の企業システムのロック解除に使用される秘密ファイルとSSHキーを探します。
自己伝播ワームとして動作し、これらのプロジェクトに自身のコピーを公開し、Anthropic Claudeボットからの自動コミットとして表示されるようにそのアクティビティを偽装します。二次的な恐喝対策として、マルウェアは説明に身代金メモを含む新しいレジストリトークンを生成し、被害者が侵害されたアクセスを取り消しようとした場合、破壊的なコンピュータワイプを脅迫します。
マルウェアのプロパティにもかかわらず、研究者はCyberScoopに、それが拡散しているのを見ていないと述べました。
「コミュニティの拡散は非常に限定的でした」と、アプリケーションセキュリティ企業Aikido Securityのセキュリティ研究者、チャーリー・エリクセンは述べました。
開発者ワークステーションへの継続的なアクセスを維持するために、マルウェアは一般的な開発者ツール、特にVisual Studio CodeとAnthropicのClaude Codeの構成ファイルに埋め込みます。これにより、開発者がプロジェクトを開いたり、AIコーディングセッションを開始したりするたびに、悪意のあるスクリプトが自動的に実行されることが保証されます。
Snykのシニア開発者アドボケート、スティーブン・Thoemmeは、CyberScoopに、これはこのようなタイプの攻撃に特に盲点であると述べました。
「.claude/や.vscode/のようなディレクトリは、通常.gitignore経由でバージョン管理から除外され、実行可能な攻撃対象として稀にしか精査されません」とThoemmeは述べました。「これらのフックとタスクシステムは正規の作業に貴重な自動化を提供しますが、悪意のあるコードの静かな実行環境を提供します。これに対抗するために、開発者はこれらのローカル構成を良性として扱うことから離れ、ツールディレクトリに対してプロダクションインフラストラクチャと同じ厳密なセキュリティ監査を適用し始める必要があります。」
検出を避けるために、盗まれたデータはSession(分散ネットワーク全体にデータをバウンスする匿名メッセージングアプリ)を使用して流出されます。盗難を通常の暗号化されたチャットトラフィックとして偽装することにより、ハッカーは通常のネットワークアクティビティに混在します。これにより、攻撃者が企業セキュリティチームが通常探索してブロックする従来の「コマンド」サーバーを完全に捨てることができます。
「Mini Shai-Hulud」キャンペーンの成功は、ソフトウェアセキュリティの大きな盲点を露呈しています。現在の防御はアップデートがどこから来たかをチェックしますが、内部のコードが実際に安全かどうかはチェックしません。開発者自身の自動化されたシステムをハイジャックすることにより、攻撃者は悪意のあるコードに公式のデジタル署名をスタンプすることができました。これは、攻撃者がシンプルに企業自身のツールを彼らに対して使用することによって現代の防御措置をバイパスできることを証明しています。
Socket CEOのFeross Aboukhadjehは、CyberScoopに、組織は侵害されたパッケージバージョンがCI/CD環境または開発者環境にインストールされた兆候、キャンペーンインフラストラクチャへの予期しない外部接続、パッケージロックファイルの疑わしい変更、独自のメンテナーまたはCIシステムからの異常なパッケージ公開、開発者ツールディレクトリの永続性アーティファクトを見つけるべきだと述べました。
「このようなキャンペーンには単一の一元化されたキルスイッチはありません」とAboukhadjehは述べました。「難しい部分は、悪意あるパッケージが確認されるまでに、攻撃者が最も望む正確な環境(開発者マシンとCIランナー)内にすでにインストールされている可能性があることです。レジストリからパッケージをプルすることはできますが、それがすでに盗まれている可能性のある認証情報を自動的にプルバックすることはできません。」
これらのパッケージはボランティアによって保守されていますが、Eriksenは、このインシデントが多くの開発チームがその製品やサービスでソフトウェアを使用しているため、エンタープライズにとって大きな問題であると述べました。
「これはボランティア対企業のものではありません」とEriksenはCyberScoopに述べました。「これは社会全体の問題です。」
Aboukhadjehは、CyberScoopに、人気のあるオープンソースソフトウェアパッケージに対するこれらの継続的な攻撃は「ソフトウェア業界がオープンソースを消費する方法についての大きな説き起こし」の一部であると述べました。
「このキャンペーンは、開発者ツールと重要インフラストラクチャの間の線がどのように薄くなったかを示しています」と彼は述べました。「攻撃者がビルドシステム内ですでに信頼されているツールを危険にさらすと、彼らはすべての企業に直接侵入する必要はありません。彼らはそれらのツールが既に持っている信頼に乗ることができます。」
翻訳元: https://cyberscoop.com/mini-shai-hulud-supply-chain-malware-attack/
