Shai Hulud npmワームが再び現れ、ソフトウェア開発の世界に対して攻撃的な新たな攻撃を開始しました。このワームはHackread.comが最初に報告した2025年9月に登場し、2025年11月24日(月)に劇的に強化された形で再び現れました。このタイミングは、npmが古いクラシックアクセストークンを無効化する12月9日の期限直前であることから注目されています。
9月の攻撃では、Shai Huludによって約180のソフトウェアライブラリ(リポジトリ)が侵害されました。しかし、Aikido Securityのセキュリティ研究者Charlie Eriksen氏が今朝早く(中央ヨーロッパ時間5:10)新たな波を検知し、感染したコードプロジェクト数はわずか数時間で19,000を超えるまで急増しました。これは前回のキャンペーンの100倍に相当します。
侵害されたツールと高速化する攻撃
攻撃はgo-templateやAsyncAPIの36パッケージなどから始まり、PostHogやPostmanのパッケージもすぐに続きました。最初の波で侵害された60以上のパッケージには、ZapierやENSプラットフォームなどの主要サービス向けツールが含まれています。具体的には、@zapier/zapier-sdk, zapier-platform-core, @ensdomains/ensjs, ethereum-ens、およびtypeorm-orbitなどのパッケージが影響を受けています。
この新しいShai Huludのバージョンは、攻撃者が前回の試みから学び、より高速かつ危険になっています。彼らは盗んだデータの送信プロセスを効率化し、「Webhookのボトルネックを捨てて、資格情報を直接パブリックなGitHubリポジトリにダンプするようになった」とEriksen氏はHackread.comに共有したブログ記事で説明しています。
マルウェアの主な目的は、開発者のコンピュータから資格情報(機密アクセスコード)を盗むことです。Aikidoの調査によると、これにはAmazon Web Services(AWS)など主要クラウドサービスの重要なアクセスキー、APIキー、GitHubやnpmといったプラットフォームのトークンが含まれます。
被害者が脅威に変わる
マルウェアはローカルコンピュータと接続されたクラウドアカウントの両方を自動的にスキャンし、TruffleHogツールを使って「開発者マシンから見つけられるあらゆる秘密情報をあさります」。感染すると被害者自身が即座に脅威となり、盗まれたnpmやGitHubのキーは即座にさらなるパッケージの侵害に利用されます。つまり、各被害者が「リアルタイムで攻撃ベクター」となり、ソフトウェアサプライチェーンでこれまでに記録された中で最速の反応となっています。
規模の大きさにもかかわらず、攻撃の全体的な影響は限定的でした。攻撃者がミスを犯し、コアの悪意あるファイルbun_environment.jsがバンドルに失敗することがあったためです。それでも被害は甚大です。合計で425のパッケージが新たなワームの兆候とともに検出されました。
現在、19,000以上のパブリックコードリポジトリが「Sha1-Hulud: The Second Coming」という説明で盗まれた資格情報を含んでいることが確認され、合計26,300以上のリポジトリが流出しています。これらの影響を受けたパッケージは合計で月間1億3,200万回のダウンロード数を誇ります(完全なリストはこちらで確認できます)。
開発者が今すぐ取るべき対策
この最新の脅威は、研究者がVSCode Marketplace上の偽のPrettierコードフォーマッター拡張機能を削除した直後に発生しました。この偽拡張は別の開発者向け攻撃でAnivia Stealerを配布していました。
これにより、開発者が常にサイバー犯罪者の主要な標的であることが示されています。Shai Huludの脅威に対処するため、開発者はただちに侵害されたパッケージをアンインストールし、すべての資格情報(GitHub、npm、クラウド、CI/CDの秘密)をローテーションし、依存関係を監査し、「Sha1-Hulud: The Second Coming」の説明が付いた不審なGitHubリポジトリを確認し、CIでnpmのpostinstallスクリプトを無効化し、すべてのアカウントでMFA(多要素認証)を強制する必要があります。
翻訳元: https://hackread.com/shai-hulud-npm-worm-supply-chain-attack/
