Shai-Hulud型NPMワーム、CIパイプラインとAIコーディングツールに侵入

大規模なShai-Hulud型npmサプライチェーンワームが、ソフトウェアエコシステムに襲いかかり、開発者マシン、CIパイプライン、AIコーディングツールを通じて侵入している。

Socket研究者は、この活発な攻撃キャンペーンを発見し、マルウェアのランタイム制御ロジックに組み込まれた「SANDWORM_*」環境変数スイッチから派生したSANDWORM_MODEと命名しました。

少なくとも19個のタイポスクワッティングパッケージが複数のエイリアスの下で公開され、人気のある開発者ユーティリティとAI関連ツールになりすまされている。インストール後、パッケージはローカル環境およびCIシステムからシークレットを収集し、盗まれたトークンを使用して他のリポジトリを修正するマルチステージペイロードを実行する。

ペイロードは、Shai-Hulud型の「デッドスイッチ」も実装しており、デフォルトではOFFのままで、マルウェアが検出されたときにホームディレクトリのワイプをトリガーする。研究者はこのキャンペーンを「実質的で高リスク」の脅威と呼び、ディフェンダーにパッケージをアクティブな侵害リスクとして扱うよう助言している。

タイポから乗っ取りまで

このキャンペーンは、攻撃者が正規のものとほぼ同じ名前でパッケージを公開し、開発者のタイポやAIが間違った依存関係を幻覚している可能性に期待するタイポスクワッティングで始まる。

「タイポスクワッティングは、Node.jsエコシステムの複数の高トラフィック開発者ユーティリティ、暗号ツール、そして最も注目すべきは急速に採用が進んでいるAIコーディングツールを対象としている。3つのパッケージはClaude Codeになりすまし、1つは最近GitHubで210k以上のスターを獲得したウイルス性AIエージェントのOpenClawを対象としている」と研究者はブログの投稿に書いている。

悪意のあるパッケージがインストールされて実行されると、マルウェアはnpmとGitHubトークン、環境シークレット、クラウドキーを含む機密認証情報を探す。これらの認証情報は、他のリポジトリに悪意のある変更をプッシュし、新しい依存関係またはワークフローを注入して、感染チェーンを拡大するために使用される。

さらに、このキャンペーンは、CIパイプライン内での攻撃を増幅し、ビルド中にシークレットを抽出し、さらなる伝播を可能にする可能性のある武装化されたGitHub Actionを使用していると研究者は付け加えた。

AI開発者インターフェースへの毒盛り

このキャンペーンは、AIコーディングアシスタントを直接対象とすることで特に注目された。マルウェアは悪意のあるモデルコンテキストプロトコル（MCP）サーバーをデプロイし、それを人気のあるAIツールの設定に注入し、アシスタント環境内の信頼できるコンポーネントとして自身を埋め込む。

これが達成されると、プロンプトインジェクション技術は、AIに機密ローカルデータ（SSHキーまたはクラウド認証情報を含む場合がある）を取得させ、ユーザーの知識なしに攻撃者に渡すことができる。

研究者はまた、変数の名前変更、制御フロー書き直し、デコイコード挿入、文字列エンコーディングなどのコードレベルの変換によってマルウェアを書き直すことができる潜在的なポリモルフィックエンジンも見つけました。ただし、分析中には活動的な変異は観察されていません。このエンジンはOllamaを通じてローカルでホストされているモデルと互換性がありますが、現在はOllamaがローカルで実行されているかどうかのみをチェックしていると彼らは書いています。

この開示では、npmはすでにShai-Hulud級のワームに対するレジストリを強化し、このキャンペーンが悪用する認証情報の悪用に関する制御を厳しくしていることが指摘されている。短命でスコープ付きトークン、公開のための必須2要素認証、CIからのアイデンティティバウンド「信頼できる公開」は、盗まれたシークレットからのブラスト半径を含むように設計されていますが、それらの有効性は最終的にはメンテナー採用の規模と速度に依存します。