Wizの研究者によると、ノードパッケージマネージャー(npm)を標的とする自己増殖型マルウェアが再び現れ、3日間で25,000人以上の開発者の秘密情報が漏洩したといいます。
影響を受けたパッケージには、Zapier、AsyncAPI、ENS Domains、PostHog、Postmanが含まれており、いずれも毎週数千回ダウンロードされています。
このキャンペーンは、公開データ内で頻繁にDuneのワームが言及されていることから「シャイ=フルード」と名付けられ、9月に初めて確認されました。
ワーム型マルウェアは、侵害されたnpmパッケージを通じて拡散しました。一度インストールされると、感染したホスト上でAWS、GCP、Azure、GitHubの認証情報をスキャンし、それらをユーザー自身のGitHubリポジトリに公開します。
Wizによれば、最新の攻撃は別の犯罪者によるものの可能性もありますが、最初の攻撃と同様に動作し、感染したマシンをスキャンして見つけた秘密情報を被害者自身のリポジトリに公開します。
9月24日時点で、25,000以上のリポジトリが自分の秘密情報を公開しており、「ここ数時間」で30分ごとにさらに1,000件が追加されていると、Wizは月曜日の朝に述べました。
GitHubは侵害されたリポジトリの削除を積極的に行っていますが、ワームの拡散速度が速いため、クリーンアップが困難となっています。
この攻撃は、9月の初期バリアントの感染チェーンから多くを借用しています。攻撃者はnpmメンテナーアカウントにアクセスし、公式ソースからのものに見せかけたトロイの木馬化されたパッケージを公開します。
開発者は知らずに悪意のあるコードをダウンロード・実行し、自分のマシンにバックドアを仕掛けられ、認証情報やCI/CDの秘密情報をスキャンされ、それらが自分のリポジトリに公開されます。
Wizが「シャイ=フルード2.0」と呼ぶ今回のバージョンで特に注目すべき違いは、悪意のあるコードがプリインストールフェーズで実行される点です。研究者は、これによりビルドやランタイム環境での潜在的な被害が「大幅に」増加する可能性があると警告しています。
攻撃は11月21日に始まり、攻撃者(身元不明)は11月23日までに影響を受けたnpmパッケージをトロイの木馬化していました。
最新のワーム活動で被害を受けた最も明白な兆候は、自分のGitHubリポジトリに「Shai-Hulud」と記載された新しい公開物がある場合ですが、Wizはその他にもさまざまな侵害の兆候(IoC)をレポートで提供しています。
セキュリティチームはnpmキャッシュをクリアし、11月21日より前に公開されたビルドに依存関係をロールバックするべきだと述べています。
また、認証情報のローテーション、新しいリポジトリや「hulud」と記載された不審なコミット、新しいnpm公開物など、侵害の兆候を手動で調査し、開発パイプラインを強化する必要があります。
npmレジストリを標的とした新たなサプライチェーン攻撃は、過去1年の間に頻繁に発見されており、時には数十万のパッケージに影響を与えています。
最初のシャイ=フルード攻撃では、合計500以上のパッケージが感染し、GitHubがユーザーのリポジトリから漏洩した秘密情報を探し出す必要があったことを受け、開発プラットフォームはnpmに関するセキュリティ強化を発表しました。
例えば、認証プロトコルを刷新し、時限ワンタイムパスワード2FAからFIDOベースの方式に切り替え、従来のクラシックトークンを廃止するなどの対応が取られました。
npm自体もクラシックトークンの作成を無効化し、既存のクラシックトークンは12月9日にすべて無効化されると発表しています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/24/shai_hulud_npm_worm/
