2026年6月3日、高度に組織化されたサプライチェーン攻撃が発生し、複数のメンテナーアカウントにまたがる57件のnpmパッケージが侵害されました。
この急速なキャンペーンは2時間未満で展開され、@vapi-ai/server-sdkやai-sdk-ollamaといった人気ツールに大きな被害をもたらしました。セキュリティ研究者は、このペイロードを「Miasma」ワームの新たな亜種として特定しています。
この自己拡散型マルウェアは、ほんの数日前にはRed Hat Cloud Servicesを標的にしていました。今回の攻撃では、「Phantom Gyp」と呼ばれる新たな回避技術が投入され、標準的なセキュリティ監視をすり抜けて悪意あるコードを気づかれることなく実行しました。
一般的なnpmサプライチェーン攻撃では、マルウェアの起動にpreinstallやpostinstallのライフサイクルスクリプトが利用されます。しかしMiasmaワームはそのような目立つ手法を採用していません。代わりに、わずか157バイトのbinding.gyp
ファイルを公開パッケージのtarballに埋め込むという手口を使います。開発者やCI/CDパイプラインがnpm installを実行すると、このファイルがnode-gypを介してネイティブのC/C++リビルドプロセスを自動的にトリガーします。
このファイル内のコマンド置換構文を悪用することで、攻撃者は4.5MBもの隠しJavaScriptペイロードを、インストールスクリプトに関するアラートを発火させることなく密かに実行します。
実行されると、マルウェアは素早く動き出します。1秒以内にスタンドアロンのBun JavaScriptランタイムをダウンロードし、Node.jsプロセスのみを監視するエンドポイント検出ツールによる検知を回避します。
その後、壊滅的なマルチクラウド認証情報ハーベスティング操作を開始します。AWS、GCP、Azureのトークンを標的にするだけでなく、GitHub Actionsランナーのメモリをスキャンしてマスクされていないシークレットを抽出します。
特に深刻なのは、このMiasma亜種がAnthropicのClaude、Cursor AI、Google Geminiといったツールのプロジェクトディレクトリに永続的なバックドア設定ファイルを仕込み、AIコーディングアシスタントを標的にしている点です。
感染したプロジェクトをAI支援IDEで開くと、バックドアが起動します。つまり、今後AIが生成するコードに攻撃者の隠れた指示によって脆弱性が密かに埋め込まれる可能性があります。
マルウェアは窃取した認証情報を、ユーザーアカウント「liuende501」配下に自動生成されたGitHubリポジトリ群へのデッドドロップとして外部へ送信します。
これらのリポジトリには挑発的な説明文が付けられており、「Shai-Hulud: Here We Go Again」という文字列を逆順にしたものも含まれ、過去のセキュリティ開示を嘲笑しています。
さらに、このワームは窃取した認証情報を使ってSigstoreの出所情報を偽造し、悪意ある改ざん済みのnpmアップデートを完全に正規のものに見せかけると、StepSecurityが報告しています。
注記: IPアドレスおよびドメインは、誤って解決やハイパーリンクが行われることを防ぐため、意図的にデファング処理(例:[.])が施されています。リファングは、MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/binding-gyp-targets-npm-maintainers/
