流出したShai-Huludマルウェアが新しいnpm情報盗聴キャンペーンを促進

先週流出したShai-Huludマルウェアは、週末に感染したパッケージが出現したため、Node Package Manager（npm）インデックスへの新しい攻撃で現在使用されています。

deadcode09284814 というアカウントを使用する脅威アクターがnpmに4つの悪意あるパッケージを公開し、そのうちの1つに、開発者の認証情報、シークレット、暗号通貨ウォレットデータ、およびアカウント情報をターゲットにした難読化されていないバージョンのShai-Huludを埋め込みました。

すべての不正なパッケージには、認証情報や設定ファイルなどの情報を流出させるルーチンが含まれていましたが、1つはシステムを分散サービス妨害（DDoS）活動のボットに変えました。

コードからランタイムまでアプリケーションをセキュアにする企業OXsecurityの研究者は、週末に悪意あるアップロードを発見し、脅威アクターがAxiosユーザーをターゲットにした誤字名（タイポスクワッティング）を使用し、一部の汎用的な名前も使用していたことに気づきました：

1. chalk-tempalte – Shai-Huludクローン（情報盗聴）
2. @deadcode09284814/axios-util – 認証情報およびクラウド設定盗聴
3. axois-utils – 情報盗聴＋永続的なDDoSボットネット（「ファントムボット」）
4. color-style-utils – 暗号ウォレットとIP情報をターゲットにした基本的な情報盗聴

研究者によると、chalk-tempalte パッケージには、最近のMini Shai-Huludソフトウェアサプライチェーン攻撃の責任者であるTeamPCPハッカーグループに起因するShai-Huludマルウェアのクローンが含まれています。

マルウェアは先週GitHubに出現し、TeamPCPからの涙とされるメッセージ「Here We Go Again – Let the Carnage Continue. A Gift from TeamPCP.」がありました。

chalk-tempalteパッケージはnpmに展開されたShai-Huludクローンの最初に文書化されたケースのようですが、Oxはこれが高度な例ではなく、むしろ保護なしでリークされたソースコードの未修正コピーであることに注目しています。

「これがTeamPCPとは異なるアクターであることの有罪の証拠の1つは、Shai-Huludマルウェアコードがリークされたソースコードのほぼ正確なコピーであり、難読化技術がないため、最終バージョンがオリジナルと視覚的に異なることです。」とOXsecurity は説明しています。

マルウェアは認証情報、シークレット、暗号ウォレットデータ、アカウント情報を盗み、87e0bbc636999b[.]lhr[.]lifeのコマンドアンドコントロール（C2）サーバに流出させます。

コードはGitHubの公開機能を保持しているため、盗まれた認証情報を公開の自動生成リポジトリにアップロードします。

他の3つのパッケージのうち、「axois-utils」は、4つすべてのパッケージに存在する情報盗聴機能に加えて、DDoS機能を含むことで際立っています。

パッケージはHTTP、TCP、UDPフラッド、およびTCPリセット攻撃をサポートしており、研究者は「ファントムボット」への内部参照も見つけています。

Shai-Huludキャンペーンは2025年9月以来複数のイテレーションを持ち、正規プロジェクトにマルウェアを注入して開発者のデータを盗みました。公開権を持つアカウントの認証情報を盗んだ後、流出した情報は公開GitHubリポジトリで公開されました。キャンペーンはTeamPCPハッカーグループに起因すると考えられています。

以前のレポートでは、OXsecurityは、脅威アクターがマルウェアソースコードを迅速にコピーし、その機能を拡張するために修正を開始したと述べています。

研究者は、感染したnpmパッケージをダウンロードした開発者に、それらを直ちに削除し、影響を受けたシステムの認証情報とAPIキーをローテーションすることをお勧めしています。

OXsecurityは、4つのパッケージの合計ダウンロード数が2,678であることに注目しています。