Mini Shai-Hulud による侵害は、ソフトウェア供給チェーンに再び包囲を敷きました。初期の攻撃は主に SAP モジュールを標的としていましたが、この悪質なアーキテクチャはその後、開発者が最も重視する認証情報が存在するリポジトリを特に侵害する、数百の汚染されたバージョンに転移しました。
その後の波は npm と PyPI の両方に浸透し、高名な開発ツールに潜入し、不安な現実を露呈させました。つまり、二段階認証(2FA)、GitHub Actions を介した信頼できる公開、または綿密なビルド出所記録のいずれも、配布されたパッケージの完全性を確実に保証することはできないということです。
Aikido からのインテリジェンスによると、169 の npm パッケージ全体で 373 の悪意あるバージョンが発見されました。Wiz.io はこのキャンペーンを集団 TeamPCP に帰属させ、この作戦が 2026 年 5 月 11 日に開始され、複数のネームスペースに瞬時に影響を与えたことに注目しています。Endor Labs はさらに、160 以上の侵害されたバージョンを 特定 し、そのうち 84 個が @tanstack エコシステムに属し、ほぼ 1200 万の週間ダウンロード数を誇る @tanstack/react-router を含むことを強調しました。
TanStack に加えて、侵害は @uipath、@mistralai、@squawk、@tallyui、@taskflow-corp などのネームスペース、および複数のスタンドアロン パッケージに影響を与えました。Wiz.io はまた、侵害された PyPI ディストリビューションを記録しており、特に guardrails-ai 0.10.1 と mistralai 2.4.6 です。後に、@uipath と @mistralai のペイロード内の欠陥により、これらの特定のインスタンスでは悪意あるコードが不活性になったことが明らかになりました。
攻撃の最も顕著な側面は TanStack に焦点を当てていました。調査官たちは、攻撃者が TanStack/router リポジトリのフォークと、メイン ブランチから分離された孤立したコミット(ハッシュ 79ac49eedf774dd4b0cfa308722bc463cfe5885c)を利用したことを明らかにしました。このコミットはプロジェクトの公式履歴には存在しませんでしたが、GitHub のアーキテクチャはそれへの直接アクセスを許可していました。この手法を通じて、攻撃者は @tanstack/setup への依存性を導入し、prepare スクリプトを利用して tanstack_runner.js を実行しました。
侵害されたパッケージは、約 2.3 MB に及ぶ難読化されたファイル router_init.js も含んでいました。インストール中に、Git 依存性の prepare スクリプトは、開発者のワークステーションまたは CI ランナーでペイロードの実行をトリガーできました。依存性はオプションとして指定されていたため、コマンドの最終的な失敗は無害に見えました。
GitHub Actions を介した信頼できる公開には深刻なリスクが関連しています。攻撃者は OIDC を通じて一時的な npm トークンを正常に取得し、長時間有効な認証情報を盗むことなく、不正なバージョンの公開を可能にしました。その結果、ビルド出所記録は、その安全性または承認を証明することなく、ビルドの起源を検証しただけです。
Mini Shai-Hulud ペイロードは、GitHub および npm トークン、GitHub Actions シークレット、AWS、GCP、および Azure のクラウド認証情報、Kubernetes トークン、HashiCorp Vault データ、および SSH キーを体系的に捜索しました。永続性は .claude および .vscode ディレクトリの操作を通じてローカル マシンで達成されました。Wiz.io はまた、継続的なトークン検証を容易にするために設計された macOS および Linux 用の gh-token-monitor デーモンも特定しました。
流出は、ドメイン git-tanstack.com、filev2.getsession.org を経由した Session ネットワーク、および Dune をテーマにした囮 GitHub リポジトリを含む、複数のチャネルを通じて実施されました。Python バリアントでは、Wiz.io は transformers.pyz の取得と、1Password および Bitwarden などのパスワード マネージャーからの認証情報の流出を観察しました。
セキュリティ研究者の間での合意は明確です:Mini Shai-Hulud は単なる認証情報の収集を超えて進化し、開発者アクセスと CI/CD パイプラインをマルウェア配布の洗練された新しい経路に変えました。セキュリティ チームは、router_init.js、tanstack_runner.js、および無権限の依存性の存在について、ロック ファイル、CI ログ、およびキャッシュを監査するよう促されています。侵害の証拠がある場合、npm トークンだけでなく GitHub 認証情報、クラウド キー、および Vault シークレットをローテーションすることが不可欠であり、2026 年 5 月 11 日以降に完了したすべての内部パッケージ公開を綿密に検証する必要があります。
