洗練されたサプライチェーン蠕虫が2026年5月19日にnpmエコシステムを襲い、初めて1時間以内に数百のパッケージにわたる少なくとも633個の悪意のあるパッケージバージョンを侵害しました。
両方のパッケージは3年間休止状態にありました。02:06 UTCまでに、蠕虫は42個の確認済み悪意のあるパッケージを発行していました。
「ミニシャイフルド」キャンペーンの全ライフサイクルにおいて、Socketはnpm、PyPI、およびComposerにまたがる 502個のユニークパッケージ全体で 1,055バージョンを追跡しています。このキャンペーンは2つの異なるが調整された感染ベクトルを使用しました。
この波における最も重要な発展は、蠕虫が発行するすべてのパッケージに対して 暗号的に有効なSigstoreプロヴェナンス証明 を生成する能力です。
一時的なECキーペアを使用して、ペイロードは侵害されたCIランナーの環境からOIDCアイデンティティトークンを発行し、署名のためにFulcioに送信し、Rekorの透明性ログにエントリをログしています。
結果として、この蠕虫によって発行されたパッケージは 緑色のプロヴェナンスバッジ を表示し、すべての標準検証チェックに合格しています。証明書のサブジェクトは正当なCI IDを反映しています。
ただし認可は決して与えられていません。標準的なプロヴェナンスツールはこれらのパッケージを正当なリリースから区別することはできません。
ペイロードは __DAEMONIZED 再入ガードを使用して直ちに自身をデーモン化し、npmインストールプロセスから切り離して、インストールが正常に終了する一方で、インプラントはバックグラウンドで実行を続けます。
主な流出経路は filev2.getsession[.]org/file/ を通じてSession P2Pを経由してTCP/443上の暗号化トラフィックで、正当なアプリトラフィックと区別できません。
EndorLabsとSocketはともにキャンペーンの監視を続けています。影響を受けたパッケージバージョンの完全なリストは両プラットフォーム上でリアルタイムで更新されています。
翻訳元: https://cyberpress.org/600-npm-packages-hit/