身元不明の攻撃者が30以上のRed Hat Cloud Services製npmパッケージをマルウェアで侵害しました。このマルウェアは、開発者のビルド環境に保存された認証情報を狙うものです。
マルウェアの窃取対象と感染拡大の仕組み
侵害されたパッケージは2026年6月1日、UTC時間の10:53〜10:53:33と13:44〜13:46:47の2つの時間帯に、異なる2つのGitHubソースリポジトリに公開されました。
Wiz Securityによると、Red Hatの特定の従業員アカウントが侵害され、「2つのRedHatInsightsリポジトリに対して悪意のある孤立コミットをプッシュすることで、コードレビューを回避した」とのことです。
その従業員のGitHubアカウントがどのように侵害されたかは、現時点では不明です。
「マルウェアはプレインストールのライフサイクルフックを介して動作し、アプリケーションコードが実行される前のnpm install時に、4.2MBの難読化されたJavaScriptペイロードを実行します」と、Orcaの研究者たちは解説しています。
このマルウェアはAWS・GCP・Azureのキーやトークン・認証情報、GitHub Actionsトークン、HashiCorp Vaultトークン、Kubernetes の認証情報と設定ファイル、SSHプライベートキー、npmおよびPyPIの公開トークンなど、幅広い情報を探し出して外部に送信します。
この悪意のあるペイロードは、TeamPCPの「Mini Shai-Hulud」マルウェアの新バージョンと見られています。同マルウェアはこれまでのサプライチェーン攻撃でも使用されており、2026年5月には攻撃者自身によってオープンソース化されています。
「ペイロードは収集したnpm認証トークンを利用して、被害アカウントがアクセスできるパッケージのバックドア入り新バージョンを公開しようとします。特筆すべきは、npmのbypass_2fa公開パラメータを使用して二要素認証の要件を無効化している点です」と、StepSecurityの研究者たちは指摘しています。
「この機能はオートメーショントークンで利用可能であり、2FAが有効なアカウントに対してもワームを自己増殖させるために悪用されています。感染に成功した端末は、攻撃者の関与なしに次の侵害パッケージ波を自律的に生み出すことができます。」
Wizの研究者によると、この新しい亜種はクラウドIDを対象とした新たなデータ収集機能を備えており、感染ごとに固有の暗号化ペイロードを生成するとのことです。
「この亜種は、説明文にMiasma: The Spreading Blightと記載されたリポジトリを作成します」と研究者たちは付け加えています。
今回の攻撃がTeamPCPによるものか、それとも模倣犯による仕業なのかも、現時点では不明です。
Red Hatの対応と推奨される対処策
Red Hatは公開から2時間以内にnpmレジストリから感染パッケージのほとんどを削除し、「これらのパッケージは社内開発用に厳密に限定されており、悪意のあるコードがconsole.redhat.comシステムを通じて顧客向けに公開されたことはない」と説明しています。
現時点では、顧客やパートナーの環境、またはRed Hatの本番システムへの影響を示す証拠はないとのことです。
ただし、侵害されたパッケージのバージョンを1つ以上インストールした開発者や組織は、早急に被害を抑える対応が必要です。
Wizの研究者は以下を推奨しています。
- 開発者のワークステーション、CI/CD環境、リポジトリへの侵害の痕跡を調査する
- 影響を受けるパッケージ、GitHub Actions、VSCode拡張機能についてシステムを監査する
- 不正なリポジトリ、新たに作成されたアクセストークン、不審なワークフローの実行がないか、GitHubのアクティビティを確認する
- アクセスされ窃取された可能性のあるすべてのキー・認証情報・トークンをローテーションする
「さらに、依存関係のallowlistingやSBOM(ソフトウェア部品表)の生成、パッケージ検証、開発環境・ビルド環境の監視強化を実施することで、ソフトウェアサプライチェーンの防御を強化すべきです」と研究者たちは締めくくっています。
翻訳元: https://www.helpnetsecurity.com/2026/06/02/red-hat-npm-packages-compromised-mini-shai-hulud/
