セキュリティ
Microsoftのコードロッカーが気付かないうちに、確実にフォークされた場所
悪名高きマルウェア集団TeamPCPがShai-Huludワームをオープンソース化したと思われる。
セキュリティ企業のOxが火曜日に発見したGitHub上の2つのリポジトリには、次のテキストが含まれている:
Shai-Hulud: オープンソースの大惨事
バイブコードされている?はい。機能するか?結果が物語る。
キーとC2は必要に応じて変更してください。愛を込めて – TeamPCP
The Registerはこの記事を公開する数時間前にリポジトリを確認したが、その時点では1つに単一のフォークがあり、もう1つは31とリストされていた。執筆時点では、これらの数字はそれぞれ5と39に増加している。
この増加は、Oxが「独立した脅威アクターがすでに修正を開始し、その到達範囲を拡張している」という主張と一致している。
Oxのアナリストはリポジトリのソースコードを調べ、「以前のShai-Hulud攻撃と同じパターンが即座に認識できる」と信じており、「これには盗まれた認証情報を新しいGitHubリポジトリにアップロードすることが含まれている」。
「TeamPCPはもはやマルウェアを広めているだけではない。彼らは機能を広めている。オープンソース化することで、彼らは自分たち自身の亜種を構築するための手段を喜んで受け入れるアクターに与えた。コピーキャットはすでにここにいる」とOxは述べた。
TeamPCPは異なるハンドルを使用してマルウェアを広めている可能性もあり、Oxは「agwagwagwa」という名前の別のGitHubユーザーを発見した後、この理論を進めた。このユーザーはすでにマルウェアをフォークし、FreeBSDサポートを追加するプルリクエストを送信している。
「TeamPCPのテーマは猫であり、agwagwagwaのGitHubアカウントには’meow!’リポジトリが含まれている」とOxは指摘し、簡単なQ&Aを行った:「これは彼らがグループの一部であることを意味するか?確実なことは言えないが、非常に疑わしい。」
Shai-Huludワームはnpmパッケージを攻撃し、感染させることができれば、AWS、GCP、Azure、およびGitHubの認証情報についてユーザーの認証情報を探す。アクセスを得ることができれば、汚染されたコードを作成して公開し、自身を永続化させる。マルウェアが目的を達成できない場合、時には報復の自己破壊行為として、ローカル環境をワイプしようとする。
研究者は2025年9月にマルウェアを発見し、より強力な亜種が同年11月に出現した。
模倣者はそれ以来、模造マルウェアを作成し、オリジナルはインターネット上を猛威を振るってきた。
マルウェアの作者は時々、他の悪人が自分たちのニーズに合わせて適応できるように、彼らの工具を販売している。しかし、サイバー犯罪者が彼らの仕事を無料で提供することは珍しい。
TeamPCPはMITライセンスを選択したもので、ほぼすべてのコード再利用を許可している。
執筆時点では、Shai-Huludリポジトリはオンラインで少なくとも12時間存在しており、MicrosoftのGitHubは介入していないようである。®
