TeamPCPがマルウェアのソースコードをGitHubでリリースしてからわずか数日後に、最初のShai-Hululワームのクローンが出現したと、Ox Securityが報告しています。
Shai-Huludは2025年9月にオープンソースソフトウェアエコシステムに対するサプライチェーン攻撃で初めて使用され、その後11月に再び使用されました。その間、数百のNPMパッケージを標的とした攻撃が行われ、数千人の開発者が感染した可能性があります。
このマルウェアは、感染したマシンから認証情報、APIキー、トークン、その他の機密情報を盗み、被害者が管理するパッケージに自らを注入して悪意のあるバージョンを公開することで自己伝播するために設計されました。
4月に、TeamPCPハッキンググループによるサプライチェーン攻撃で再度出現しました。このグループは3月以来、オープンソースソフトウェアコミュニティに対していくつかのキャンペーンを展開しており、Trivy、Bitwarden、Checkmarx、SAP、およびTanStackインシデントが含まれます。
先週、Shai-Hululワームのソースコードを含むいくつかのリポジトリが一時的にGitHubに表示され、TeamPCPとBreachForumsからの発表が伴われました。その発表は、悪党がサプライチェーンチャレンジでコードを使用することを奨励していました。
セキュリティ研究者はソースコードのリリースに続くマルウェア関連の活動の急増について速やかに警告を発し、サイバー犯罪者はワームを素早く適応させ、新しい攻撃で使用を開始しました。
Ox Securityによると、脅威行為者は情報盗難マルウェアを含む4つのNPMパッケージを公開し、そのうちの1つはShai-Hululコードを含んでいます。
「chalk-tempalte」と呼ばれるこのパッケージはワームの直接的なクローンであり、難読化を使用せず、独自のコマンド・アンド・コントロール(C&C)サーバーと秘密鍵を実装しています。
「マルウェアのソースコードを分析することで、以前のShai-Hululの攻撃から同じパターンが期待通りすぐに認識できます。これには、盗まれた認証情報を新しいGitHubリポジトリにアップロードすることが含まれます」とOxは述べています。
脅威行為者によって公開された他の3つのパッケージは、すべてタイポスクワッティングを使用してAxiosユーザーに感染させ、Shai-Hululとは異なり、そのうちの1つは感染したマシンを分散型サービス拒否(DDoS)ボットネットに引き込みます。
4つのパッケージ「@deadcode09284814/axios-util」、「axois-utils」、「chalk-tempalte」、「color-style-utils」の合計週間ダウンロード数は2,600を超えています。
「複数の手法と情報盗難タイプを備えた単一の行為者がNPMに悪意のあるコードを広げているのが見られており、これは今後のサプライチェーン攻撃の波の最初のフェーズに過ぎません」とOxは警告しています。
翻訳元: https://www.securityweek.com/first-shai-hulud-worm-clones-emerge/
