ライブ更新:CrowdStrikeおよび数百の人気パッケージに影響する、史上最も危険なNPM侵害「Shai-Hulud」
Idan Dardikman
,
Yuval Ronen
,
2025年9月16日
私たちは、史上最大かつ最も危険なnpmサプライチェーン侵害として知られる「Shai-Hulud」マルウェア・キャンペーンを追跡しています。これは複数のメンテナーにまたがって数百のパッケージに影響を及ぼしています。対象には、@ctrl/tinycolorのような人気ライブラリに加え、CrowdStrikeがメンテナンスするパッケージも含まれます。悪意あるバージョンには、開発者の認証情報を窃取し、シークレットを流出させ、自動化ワークフローを通じてリポジトリやエンドポイントに永続化することを目的としたトロイの木馬化スクリプト(bundle.js)が埋め込まれています。下表は、追加の侵害パッケージが特定されるたびにリアルタイムで継続的に更新されます。
ライブ更新を購読
何が起きたのか?
攻撃者は@ctrl/tinycolorおよび他のnpmパッケージの悪意あるバージョンを公開し、インストール時に自動実行される大規模な難読化スクリプト(bundle.js)を注入しました。このペイロードはメンテナーのプロジェクトを再パッケージ化して再公開し、マルウェアが開発者の直接関与なしに関連パッケージへ横展開できるようにします。その結果、侵害は初期の侵入口を超えて急速に拡大し、広く利用されるオープンソース・ライブラリだけでなく、CrowdStrikeのnpmパッケージにも影響が及びました。
注入されたスクリプトは認証情報の収集と永続化の操作を実行します。TruffleHogを実行してローカルのファイルシステムやリポジトリをスキャンし、npmトークン、GitHub認証情報、AWS・GCP・Azureのクラウドアクセスキーなどのシークレットを探索します。さらに、CI/CD実行時にシークレットを流出させる隠しGitHub Actionsワークフローファイル(.github/workflows/shai-hulud-workflow.yml)を書き込み、初期感染後も長期的なアクセスを確保します。このようにエンドポイントのシークレット窃取とバックドアの双方に注力している点が、Shai-Huludを過去の侵害と比べても最も危険なキャンペーンの一つにしています。
何をすべきか?
組織はShai-Huludキャンペーンの影響を封じ込めるため、迅速に行動すべきです。
- まず、影響を受けたパッケージの存在について、開発者端末、ビルドサーバー、CI/CDエージェントなどすべてのエンドポイントを横断してスキャンしてください(Koiの顧客は関連パッケージについて既にアラートを受け取っています)
- 侵害されたバージョンは直ちに削除し、攻撃の全容が把握できるまで、暫定的にnpmパッケージの更新を凍結することを推奨します (Koiの顧客はネットワークのガードレールにより保護されています)
- 次に、マルウェアは複数環境からシークレットを収集するよう設計されているため、GitHub、npm、AWS、GCP、Azureのトークンを含む完全な認証情報のローテーションを実施してください
- 最後に、.github/workflows/ を確認し、shai-hulud-workflow.yml のような不審なファイルや予期しないブランチがないかをレビューして、永続化メカニズムの有無を監査してください
これらの手順は、調査とクリーンアップが継続する間のリスク低減と、攻撃者の足場の限定に役立ちます。
支援が必要ですか?
貴組織が影響を受けている可能性があり不安ですか? 侵害されたパッケージの検出と、このサプライチェーン攻撃の緩和に関する専門的なガイダンスについては、お問い合わせください。
IOC
https://webhook[.]site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7
78e701f42b76ccde3f2678e548886860 [MD5] – bundle.js
fbf3fe241abf21b1a732352a037edec0 [MD5] – bundle.js
侵害が確認されたパッケージ(ライブ更新)
| パッケージ名 | 侵害されたバージョン | 検出日 | ステータス |
|---|---|---|---|
| react-complaint-image | 0.0.35 | 2025-09-16 | NPMから削除 |
| encounter-playground | 0.0.5 | 2025-09-16 | NPMから削除 |
| rxnt-authentication | 0.0.6 | 2025-09-16 | NPMから削除 |
| @nativescript-community/ui-drawer | 0.1.30 | 2025-09-16 | NPMから削除 |
| json-rules-engine-simplified | 0.2.1 | 2025-09-16 | NPMから削除 |
| react-jsonschema-form-extras | 0.3.21 | 2025-09-16 | NPMから削除 |
| rxnt-healthchecks-nestjs | 1.0.4 | 2025-09-16 | NPMから削除 |
| rxnt-kue | 1.0.5 | 2025-09-16 | NPMから削除 |
| swc-plugin-component-annotate | 1.6.13 | 2025-09-16 | NPMから削除 |
| ngx-color | 1.9.2 | 2025-09-16 | NPMから削除 |
| angulartics2 | 10.0.2 | 2025-09-16 | NPMから削除 |
| @ctrl/react-adsense | 19.0.2 | 2025-09-16 | NPMから削除 |
| ts-gaussian | 2.0.35 | 2025-09-16 | NPMから削除 |
| @ctrl/ngx-rightclick | 3.0.6 | 2025-09-16 | NPMから削除 |
| @ctrl/ts-base32 | 4.0.2 | 2025-09-16 | NPMから削除 |
| @ctrl/magnet-link | 4.0.2 | 2025-09-16 | バージョン修正済み |
| @ctrl/tinycolor | 4.0.4 | 2025-09-16 | バージョン修正済み |
| @ctrl/torrent-file | 4.1.1 | 2025-09-16 | NPMから削除 |
| @nativescript-community/sentry | 4.1.2 | 2025-09-16 | NPMから削除 |
| koa2-swagger-ui | 4.5.6 | 2025-09-16 | NPMから削除 |
| @ctrl/ngx-csv | 4.6.43 | 2025-09-16 | NPMから削除 |
| @nativescript-community/ui-collectionview | 5.11.1 | 2025-09-16 | NPMから削除 |
| @ctrl/shared-torrent | 5.11.2 | 2025-09-16 | NPMから削除 |
| @ctrl/ngx-codemirror | 6.0.2 | 2025-09-16 | NPMから削除 |
| @ctrl/deluge | 6.0.6 | 2025-09-16 | NPMから削除 |
| @nativescript-community/ui-material-bottomsheet | 6.3.2 | 2025-09-16 | NPMから削除 |
| @nativescript-community/ui-material-core-tabs | 7.2.2 | 2025-09-16 | NPMから削除 |
| @ctrl/transmission | 7.2.72 | 2025-09-16 | NPMから削除 |
| ngx-trend | 7.2.76 | 2025-09-16 | NPMから削除 |
| @ctrl/ngx-emoji-mart | 7.2.76 | 2025-09-16 | NPMから削除 |
| @ctrl/qbittorrent | 7.3.1 | 2025-09-16 | NPMから削除 |
| @ahmedhfarag/ngx-perfect-scrollbar | 8.0.1, 20.0.20 | 2025-09-16 | NPMから削除 |
| @ahmedhfarag/ngx-virtual-scroller | 4.0.4, 9.2.2 | 2025-09-16 | NPMから削除 |
| @art-ws/common | 9.7.2 | 2025-09-16 | NPMから削除 |
| @art-ws/config-eslint | 2.0.4, 2.0.5 | 2025-09-16 | NPMから削除 |
| @art-ws/config-ts | 2.0.7, 2.0.8 | 2025-09-16 | NPMから削除 |
| @art-ws/db-context | 2.0.24 | 2025-09-16 | NPMから削除 |
| @art-ws/di | 2.0.28, 2.0.32 | 2025-09-16 | NPMから削除 |
| @art-ws/di-node | 2.0.13 | 2025-09-16 | NPMから削除 |
| @art-ws/eslint | 1.0.5, 1.0.6 | 2025-09-16 | NPMから削除 |
| @art-ws/fastify-http-server | 2.0.24, 2.0.27 | 2025-09-16 | NPMから削除 |
| @art-ws/http-server | 2.0.21, 2.0.25 | 2025-09-16 | NPMから削除 |
| @art-ws/openapi | 0.1.9, 0.1.12 | 2025-09-16 | NPMから削除 |
| @art-ws/package-base | 1.0.5, 1.0.6 | 2025-09-16 | NPMから削除 |
| @art-ws/prettier | 1.0.5, 1.0.6 | 2025-09-16 | NPMから削除 |
| @art-ws/slf | 2.0.15, 2.0.22 | 2025-09-16 | NPMから削除 |
| @art-ws/ssl-info | 1.0.9, 1.0.10 | 2025-09-16 | NPMから削除 |
| @art-ws/web-app | 1.0.3, 1.0.4 | 2025-09-16 | NPMから削除 |
| @crowdstrike/commitlint | 8.1.1, 8.1.2 | 2025-09-16 | NPMから削除 |
| @crowdstrike/falcon-shoelace | 0.4.1, 0.4.2 | 2025-09-16 | NPMから削除 |
| @crowdstrike/foundry-js | 0.19.1, 0.19.2 | 2025-09-16 | NPMから削除 |
| @crowdstrike/glide-core | 0.34.2, 0.34.3 | 2025-09-16 | NPMから削除 |
| @crowdstrike/logscale-dashboard | 1.205.1, 1.205.2 | 2025-09-16 | NPMから削除 |
| @crowdstrike/logscale-file-editor | 1.205.1, 1.205.2 | 2025-09-16 | NPMから削除 |
| @crowdstrike/logscale-parser-edit | 1.205.1, 1.205.2 | 2025-09-16 | NPMから削除 |
| @crowdstrike/logscale-search | 1.205.1, 1.205.2 | 2025-09-16 | NPMから削除 |
| @crowdstrike/tailwind-toucan-base | 5.0.1, 5.0.2 | 2025-09-16 | NPMから削除 |
| @hestjs/core | 0.2.1 | 2025-09-16 | NPMから削除 |
| @hestjs/cqrs | 0.1.6 | 2025-09-16 | NPMから削除 |
| @hestjs/demo | 0.1.2 | 2025-09-16 | NPMから削除 |
| @hestjs/eslint-config | 0.1.2 | 2025-09-16 | NPMから削除 |
| @hestjs/logger | 0.1.6 | 2025-09-16 | NPMから削除 |
| @hestjs/scalar | 0.1.7 | 2025-09-16 | NPMから削除 |
| @hestjs/validation | 0.1.6 | 2025-09-16 | NPMから削除 |
| @nativescript-community/arraybuffers | 1.1.6, 1.1.7, 1.1.8 | 2025-09-16 | NPMから削除 |
| @nativescript-community/perms | 3.0.5, 3.0.6, 3.0.7, 3.0.8 | 2025-09-16 | NPMから削除 |
| @nativescript-community/sqlite | 3.5.2, 3.5.3, 3.5.4, 3.5.5 | 2025-09-16 | NPMから削除 |
| @nativescript-community/typeorm | 0.2.30, 0.2.31, 0.2.32, 0.2.33 | 2025-09-16 | NPMから削除 |
| @nativescript-community/ui-document-picker | 6.0.6 | 2025-09-16 | NPMから削除 |
| @nativescript-community/ui-label | 1.3.35, 1.3.36, 1.3.37 | 2025-09-16 | NPMから削除 |
| @nativescript-community/ui-material-bottom-navigation | 7.2.72, 7.2.73, 7.2.74, 7.2.75 | 2025-09-16 | NPMから削除 |
| @nativescript-community/ui-material-ripple | 7.2.72, 7.2.73, 7.2.74, 7.2.75 | 2025-09-16 | NPMから削除 |
| @nativescript-community/ui-material-tabs | 7.2.72, 7.2.73, 7.2.74, 7.2.75 | 2025-09-16 | NPMから削除 |
| @nativescript-community/ui-pager | 14.1.36, 14.1.37, 14.1.38 | 2025-09-16 | NPMから削除 |
| @nativescript-community/ui-pulltorefresh | 2.5.4, 2.5.5, 2.5.6, 2.5.7 | 2025-09-16 | NPMから削除 |
| @nexe/config-manager | 0.1.1 | 2025-09-16 | NPMから削除 |
| @nexe/eslint-config | 0.1.1 | 2025-09-16 | NPMから削除 |
| @nexe/logger | 0.1.3 | 2025-09-16 | NPMから削除 |
| @nstudio/angular | 20.0.4, 20.0.5, 20.0.6 | 2025-09-16 | NPMから削除 |
| @nstudio/focus | 20.0.4, 20.0.5, 20.0.6 | 2025-09-16 | NPMから削除 |
| @nstudio/nativescript-checkbox | 2.0.6, 2.0.7, 2.0.8, 2.0.9 | 2025-09-16 | NPMから削除 |
| @nstudio/nativescript-loading-indicator | 5.0.1, 5.0.2, 5.0.3, 5.0.4 | 2025-09-16 | NPMから削除 |
| @nstudio/ui-collectionview | 5.1.11, 5.1.12, 5.1.13, 5.1.14 | 2025-09-16 | NPMから削除 |
| @nstudio/web | 20.0.4 | 2025-09-16 | NPMから削除 |
| @nstudio/web-angular | 20.0.4 | 2025-09-16 | NPMから削除 |
| @nstudio/xplat | 20.0.5, 20.0.6, 20.0.7 | 2025-09-16 | NPMから削除 |
| @nstudio/xplat-utils | 20.0.5, 20.0.6, 20.0.7 | 2025-09-16 | NPMから削除 |
| @operato/board | 9.0.51 | 2025-09-16 | NPMから削除 |
| @operato/data-grist | 9.0.29, 9.0.35, 9.0.36, 9.0.37 | 2025-09-16 | NPMから削除 |
| @operato/graphql | 9.0.51 | 2025-09-16 | NPMから削除 |
| @operato/headroom | 9.0.2, 9.0.35, 9.0.36, 9.0.37 | 2025-09-16 | NPMから削除 |
| @operato/help | 9.0.51 | 2025-09-16 | NPMから削除 |
| @operato/i18n | 9.0.35, 9.0.36, 9.0.37 | 2025-09-16 | NPMから削除 |
| @operato/input | 9.0.48 | 2025-09-16 | NPMから削除 |
| @operato/layout | 9.0.35, 9.0.36, 9.0.37 | 2025-09-16 | NPMから削除 |
| @operato/popup | 9.0.22, 9.0.35, 9.0.36, 9.0.37, 9.0.38, 9.0.39, 9.0.40, 9.0.41, 9.0.42, 9.0.43, 9.0.44, 9.0.45, 9.0.46 | 2025-09-16 | NPMから削除 |
| @operato/pull-to-refresh | 9.0.47 | 2025-09-16 | NPMから削除 |
| @operato/shell | 9.0.22, 9.0.35, 9.0.36, 9.0.37, 9.0.38, 9.0.39 | 2025-09-16 | NPMから削除 |
| @operato/styles | 9.0.2, 9.0.35, 9.0.36, 9.0.37 | 2025-09-16 | NPMから削除 |
| @operato/utils | 9.0.51 | 2025-09-16 | NPMから削除 |
| @teselagen/bounce-loader | 0.3.16, 0.3.17 | 2025-09-16 | NPMから削除 |
| @teselagen/liquibase-tools | 0.4.1 | 2025-09-16 | NPMから削除 |
| @teselagen/range-utils | 0.3.14, 0.3.15 | 2025-09-16 | NPMから削除 |
| @teselagen/react-list | 0.8.19, 0.8.20 | 2025-09-16 | NPMから削除 |
| @teselagen/react-table | 6.10.19 | 2025-09-16 | NPMから削除 |
| @thangved/callback-window | 1.1.4 | 2025-09-16 | NPMから削除 |
| @things-factory/attachment-base | 9.0.55 | 2025-09-16 | NPMから削除 |
| @things-factory/auth-base | 9.0.43, 9.0.44, 9.0.45 | 2025-09-16 | NPMから削除 |
| @things-factory/email-base | 9.0.59 | 2025-09-16 | NPMから削除 |
| @things-factory/env | 9.0.42, 9.0.43, 9.0.44, 9.0.45 | 2025-09-16 | NPMから削除 |
| @things-factory/integration-base | 9.0.43, 9.0.44, 9.0.45 | 2025-09-16 | NPMから削除 |
| @things-factory/integration-marketplace | 9.0.43, 9.0.44, 9.0.45 | 2025-09-16 | NPMから削除 |
| @things-factory/shell | 9.0.43, 9.0.44, 9.0.45 | 2025-09-16 | NPMから削除 |
| @tnf-dev/api | 1.0.8 | 2025-09-16 | NPMから削除 |
| @tnf-dev/core | 1.0.8 | 2025-09-16 | NPMから削除 |
| @tnf-dev/js | 1.0.8 | 2025-09-16 | NPMから削除 |
| @tnf-dev/mui | 1.0.8 | 2025-09-16 | NPMから削除 |
| @tnf-dev/react | 1.0.8 | 2025-09-16 | NPMから削除 |
| @ui-ux-gang/devextreme-angular-rpk | 24.1.7 | 2025-09-16 | NPMから削除 |
| @yoobic/design-system | 6.5.17 | 2025-09-16 | NPMから削除 |
| @yoobic/jpeg-camera-es6 | 1.0.13 | 2025-09-16 | NPMから削除 |
| @yoobic/yobi | 8.7.53 | 2025-09-16 | NPMから削除 |
| airchief | 0.3.1 | 2025-09-16 | NPMから削除 |
| airpilot | 0.8.8 | 2025-09-16 | NPMから削除 |
| browser-webdriver-downloader | 3.0.8 | 2025-09-16 | NPMから削除 |
| capacitor-notificationhandler | 0.0.3 | 2025-09-16 | NPMから削除 |
| capacitor-plugin-healthapp | 0.0.3 | 2025-09-16 | NPMから削除 |
| capacitor-plugin-ihealth | 1.1.9 | 2025-09-16 | NPMから削除 |
| capacitor-plugin-vonage | 1.0.3 | 2025-09-16 | NPMから削除 |
| capacitorandroidpermissions | 0.0.5 | 2025-09-16 | NPMから削除 |
| config-cordova | 0.8.5 | 2025-09-16 | NPMから削除 |
| cordova-plugin-voxeet2 | 1.0.24 | 2025-09-16 | NPMから削除 |
| cordova-voxeet | 1.0.32 | 2025-09-16 | NPMから削除 |
| create-hest-app | 0.1.9 | 2025-09-16 | NPMから削除 |
| db-evo | 1.1.5 | 2025-09-16 | NPMから削除 |
| devextreme-angular-rpk | 21.2.8 | 2025-09-16 | NPMから削除 |
| ember-browser-services | 5.0.2, 5.0.3 | 2025-09-16 | NPMから削除 |
| ember-headless-form | 1.1.2, 1.1.3 | 2025-09-16 | NPMから削除 |
| ember-headless-form-yup | 1.0.1 | 2025-09-16 | NPMから削除 |
| ember-headless-table | 2.1.5, 2.1.6 | 2025-09-16 | NPMから削除 |
| ember-url-hash-polyfill | 1.0.12, 1.0.13 | 2025-09-16 | NPMから削除 |
| ember-velcro | 2.2.1, 2.2.2 | 2025-09-16 | NPMから削除 |
| eslint-config-crowdstrike | 11.0.2, 11.0.3 | 2025-09-16 | NPMから削除 |
| eslint-config-crowdstrike-node | 4.0.3, 4.0.4 | 2025-09-16 | NPMから削除 |
| eslint-config-teselagen | 6.1.7 | 2025-09-16 | NPMから削除 |
| globalize-rpk | 1.7.4 | 2025-09-16 | NPMから削除 |
| graphql-sequelize-teselagen | 5.3.8 | 2025-09-16 | NPMから削除 |
| html-to-base64-image | 1.0.2 | 2025-09-16 | NPMから削除 |
| jumpgate | 0.0.2 | 2025-09-16 | NPMから削除 |
| mcfly-semantic-release | 1.3.1 | 2025-09-16 | NPMから削除 |
| mcp-knowledge-base | 0.0.2 | 2025-09-16 | NPMから削除 |
| mcp-knowledge-graph | 1.2.1 | 2025-09-16 | NPMから削除 |
| mobioffice-cli | 1.0.3 | 2025-09-16 | NPMから削除 |
| monorepo-next | 13.0.1, 13.0.2 | 2025-09-16 | NPMから削除 |
| mstate-angular | 0.4.4 | 2025-09-16 | NPMから削除 |
| mstate-cli | 0.4.7 | 2025-09-16 | NPMから削除 |
| mstate-dev-react | 1.1.1 | 2025-09-16 | NPMから削除 |
| mstate-react | 1.6.5 | 2025-09-16 | NPMから削除 |
| ng2-file-upload | 7.0.2, 7.0.3, 8.0.1, 8.0.2, 8.0.3, 9.0.1 | 2025-09-16 | NPMから削除 |
| ngx-bootstrap | 18.1.4, 19.0.3, 19.0.4, 20.0.3, 20.0.4, 20.0.5 | 2025-09-16 | NPMから削除 |
| ngx-ws | 1.1.6 | 2025-09-16 | NPMから削除 |
| oradm-to-gql | 35.0.14, 35.0.15 | 2025-09-16 | NPMから削除 |
| oradm-to-sqlz | 1.1.2 | 2025-09-16 | NPMから削除 |
| ove-auto-annotate | 0.0.9 | 2025-09-16 | NPMから削除 |
| pm2-gelf-json | 1.0.5 | 2025-09-16 | NPMから削除 |
| printjs-rpk | 1.6.1 | 2025-09-16 | NPMから削除 |
| remark-preset-lint-crowdstrike | 4.0.1, 4.0.2 | 2025-09-16 | NPMから削除 |
| tbssnch | 1.0.2 | 2025-09-16 | NPMから削除 |
| teselagen-interval-tree | 1.1.2 | 2025-09-16 | NPMから削除 |
| tg-client-query-builder | 2.14.4, 2.14.5 | 2025-09-16 | NPMから削除 |
| tg-redbird | 1.3.1 | 2025-09-16 | NPMから削除 |
| tg-seq-gen | 1.0.9, 1.0.10 | 2025-09-16 | NPMから削除 |
| thangved-react-grid | 1.0.3 | 2025-09-16 | NPMから削除 |
| ts-imports | 1.0.2 | 2025-09-16 | NPMから削除 |
| tvi-cli | 0.1.5 | 2025-09-16 | NPMから削除 |
| ve-bamreader | 0.2.6 | 2025-09-16 | NPMから削除 |
| ve-editor | 1.0.1 | 2025-09-16 | NPMから削除 |
| verror-extra | 6.0.1 | 2025-09-16 | NPMから削除 |
| voip-callkit | 1.0.3 | 2025-09-16 | NPMから削除 |
| wdio-web-reporter | 0.1.3 | 2025-09-16 | NPMから削除 |
| yargs-help-output | 5.0.3 | 2025-09-16 | NPMから削除 |
| yoo-styles | 6.0.326 | 2025-09-16 | NPMから削除 |
| @basic-ui-components-stc/basic-ui-components | 1.0.5 | 2025-09-16 | NPMから削除 |
| @ui-ux-gang/devextreme-rpk | 24.1.7 | 2025-09-16 | NPMから削除 |
| ng-imports-checker | 0.0.10 | 2025-09-16 | NPMから削除 |
| ace-colorpicker-rpk | 0.0.14 | 2025-09-16 | NPMから削除 |
翻訳元: https://www.koi.ai/blog/shai-hulud-npm-supply-chain-attack-crowdstrike-tinycolor
ソース: koi.ai
