Mini Shai-HuludワームとCI/CDエクスプロイトの新時代

本稿では、TeamPCPが最近展開しているキャンペーンの技術的詳細、開発者エコシステムへの影響、そしてソフトウェアサプライチェーンの安全確保に必要な緊急対策について詳しく解説します。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2026年5月28日付）を翻訳したものです。

開発者エコシステムは先日、これまでで最も深刻な構造上の脅威の1つに直面しました。脅威アクターグループTeamPCPにより、複数のエコシステムを脅かす自己増殖型ワーム「Mini Shai-Hulud」がオープンソース化されたのです。多くの開発者・企業に影響を及ぼす恐れがあるMini Shai-Huludは、最新のCI/CDパイプラインの信頼レイヤーを根本から侵害しています。

Mini Shai-Huludの活動ペースは、攻撃キャンペーンを重ねるたびに加速しています。当初は機会主義的な認証情報窃取だったものが、今では30分以内に数百ものパッケージを侵害できる高速かつ自動化されたオペレーションに進化を遂げました。GitHubの内部リポジトリ約3,800件の窃取から、TanStackやAntVといった重要なライブラリへの攻撃まで、TeamPCPのキャンペーンは開発者ツールやIDインフラの悪用において驚異的な効果を発揮しています。

Mini Shai-Huludとは？

Mini Shai-Huludは、JavaScriptランタイムのBunで実行される498KBの難読化スクリプトとして展開されます。ほとんどのエンドポイント検出・対応（EDR）プラットフォームやセキュリティ情報イベント管理（SIEM）ソリューションがNode.jsの実行パターンに合わせて動作ルールを調整しているため、Node.jsではなくBunが戦術的な回避策として意図的に選択されています。

Mini Shai-Huludの仕組み

このワームは開発者環境からnpmおよびGitHubの認証（OIDC）トークンを盗み出した後、これらの認証情報を使い、侵害されたユーザーが管理するパッケージの有害バージョンを公開することで自己伝播します。この目的を達成するため、ランナープロセスのメモリをスクレイピングして有効期限の短いIDトークンを抽出し、これをパッケージごとの信頼された発行者トークンと交換することで、有効期限の長いnpmシークレットが不要になります。

認証情報の抽出とコマンド＆コントロール

Mini Shai-Huludは、npmトークンやGitHubの個人アクセストークン、AWS・GCP・Azureの設定ファイル、Kubernetesのkubeconfigファイル、Docker認証情報、HashiCorp Vaultトークン、1PasswordおよびBitwarden CLIの保管庫、SSH秘密鍵、Bitcoinウォレットファイルなど、130のファイルパスにわたる認証情報を標的にします。

データ抽出は複数のチャネルを通じて行われ、これにはメッセージングアプリ「Session」のネットワーク、被害者アカウント上に動的に作成されたSF小説『Dune』をテーマとするリポジトリを使用したGitHub Git Data API、脅威アクターが管理するドメインへのHTTPS接続、GitHub Actionsワークフローのデータ抽出用APIなどが含まれます。

このワームはGitHubの公開コミット検索APIを介し、デッドドロップ型コマンド＆コントロール（C2）アーキテクチャを利用します。インストールされたデーモン（Linuxではsystemdサービス、macOSではLaunchAgentとしてデプロイされるkitty-monitor）は文字列「firedalazer」を含むコミットをGitHub上でポーリングし、一致するコミットからRSA-PSS署名付きコマンドペイロードを解析して実行します。この手法では信頼された中継点としてGitHubが使われるため、GitHubの正当な利用を妨げずにC2トラフィックをブロックすることは困難になります。

さらに、このワームは侵害された開発者マシン上に「IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner」という名のGitHub個人アクセストークンを作成し、永続化メカニズムをデッドマンスイッチとして利用します。オペレーターが永続化メカニズムを無効化せずにこのトークンを失効させると、侵害されたデバイスのホームディレクトリにあるデータはワームによってすべて破壊されます。

AIエージェントのハイジャック

Mini Shai-Huludは標準的な永続化メカニズムだけでなく、AIコーディングエージェントも永続性確立に利用します。SafeDepの分析によると、このワームはClaude Codeのsettings.jsonファイルを改変し、SessionStartフックを挿入します。これにより、感染したnpmパッケージが後で削除されたり、npmキャッシュがクリアされたりしても、完全なLLM API権限で復活できるようになるのです。また、Visual Studio Codeのtasks.jsonファイルが「“runOn”: “folderOpen”」トリガーを利用する同様の手法で標的にされ、Codexの設定ファイルも攻撃対象となります。

AIエージェントを乗っ取るこれらの手法により、新たなアタックサーフェスが生まれます。このマルウェアは信頼されたAIツールの設定内に永続性を確立することで、その後の開発セッション中にこれらのツールが処理したすべてのコードとシークレットを抽出できるようになります。

4波にわたるサプライチェーン攻撃

Flashpointでは、TeamPCP関連の文書化されたnpm・PyPIサプライチェーン攻撃を2026年に少なくとも4回観測しています。Mini Shai-Huludを使って開発者ツールエコシステムが侵害され、数万もの組織から認証情報やクラウドキー、ソースコードが盗まれました。

TeamPCPとMini Shai-Huludが投げかけた波紋は、2026年を通じて以下のように広がっています。

第1波：初期SAPパッケージ（2026年4月）

最初に文書化されたMini Shai-Huludの攻撃キャンペーンは、2026年4月に少数のSAP公式npmパッケージを標的としたものでした。同3月にGitHub Actions経由でAqua SecurityのTrivyスキャナとCheckmarx KICSを侵害し、CI/CDに対しての攻撃能力をすでに実証していたTeamPCPですが、この最初のMini Shai-Huludによる攻撃は主に自己伝播メカニズムの概念実証として、また、TeamPCPのアクセスブローカーネットワークの偵察段階として機能しました。さらにこれらの攻撃は、広く使われているセキュリティツールを侵害する同グループの能力を示すものであり、自動化されたCI/CDパイプラインのスキャン結果に対する防御側の信頼を著しく損ないました。

第2波：TanStack、Mistral AI、Guardrails AI（2026年5月）

TeamPCPはGitHub Actionsのキャッシュポイズニング手法を悪用し、TanStackパッケージ42件において有害バージョンを84件公開しました。これにより、累計ダウンロード数が5億1,800万回を超えるプロジェクトに影響が及んでいます。 

この攻撃はMistral AIとGuardrails AIにも影響を与え、AI開発ツールのエコシステムにまでアタックサーフェスを拡大しました。攻撃者は偽造されたコミットの作成者情報を使い、Claude Codeが一般的に使用されているAI支援開発環境に自身のコミットを紛れ込ませました。

TeamPCPは同時にBreachForumsでMistral AIのソースコードを販売し、Mistralの内部リポジトリ450件に関連するデータを約5GB所有していると主張しました。

TeamPCPがMistral AIの内部ソースコードとリポジトリを販売するため、BreachForumsに掲載した広告（2026年5月）（画像入手元：Flashpoint）

第3波：AntVエコシステム（2026年5月）

TeamPCPはAntVのエンタープライズデータ可視化エコシステムを狙い、AntVパッケージの広範なカタログに対して公開権限を持つnpmアカウント「atool」を侵害しました。わずか22分間でパッケージ323件において637件の有害バージョンが公開されており、その規模と速度は標準的なセキュリティ監視パイプラインを圧倒するものでした。

感染した各パッケージにはMini Shai-Huludワームが含まれ、実行されると数時間以内に2,500件前後の侵害リポジトリが被害者アカウント上に作成されました。

第4波：BreachForumsの共同所有とGitHubの侵害

TeamPCPは最新の動きにおいて、現在稼働中の英語圏サイバー犯罪フォーラムとして最大規模を誇るBreachForumsの共同所有権を取得したと発表しました。これによってTeamPCPの地位が大きく向上するとともに、活動範囲も大幅に広がっています。同グループは共同所有者として、プラットフォームの運営管理、紛争解決、モデレーターの人員配置と審査、コミュニティ向けの賞金コンテストの開催を行うと表明しました。そしてこの発表により、TeamPCPは活発な脅威アクターとして、またプラットフォームレベルのインフラ運営者としての地位を確立するだけでなく、フォーラムのポリシーを策定したり、犯罪ツールの販売状況を管理したりする権限を獲得し、アクセスブローカーやランサムウェアのさらに広範なエコシステムに影響を及ぼす能力を手に入れています。

さらにこの頃、TeamPCPはGitHub従業員の開発環境をポイズニングすることで、約3,800件の内部リポジトリを不正に持ち出しました。盗まれたデータには、以下のような極めて機微性の高いコードベースが含まれています。

• copilot-apiおよびcopilot-token-service
• actions-runtime
• billing-platform
• enterprise-crypto
• authentication
• codeql-core
• detection-engineering
• csirt
• azure-config

TeamPCPがGitHubの内部ソースコードを販売するため、BreachForumsに掲載した広告（画像入手元：Flashpoint）

推奨される緊急対策

世界で最も広く利用されているコードホスティングプラットフォームの一角から内部ソースコードが盗まれると、ソフトウェア開発パイプラインにGitHub CopilotやGitHub Actionsを組み込んでいる下流の組織にとって非常に深刻なリスクが生じます。CI/CDパイプラインにClaude Codeや拡張機能付きVS CodeのようなAIコーディングエージェントを使用している組織は、とりわけリスクが高くなります。セキュリティチームは、AIエージェントの設定ファイルを整合性の監視および変更／制御ポリシーの対象となる機微資産として取り扱ってください。

npm、PyPi、またはAI支援開発ツールを使用している企業や組織に対し、Flashpointは以下のような緊急対策を推奨しています。

• 監査と削除：CI/CD環境を直ちに監査し、AntV、TanStack、Mistral AI、およびBitwarden CLIパッケージの感染バージョンをすべて削除する。
• 認証情報の定期的な更新：すべてのクラウド認証情報（AWS、GCP、Azure）とnpmトークンを定期的に更新する。
• 永続化の無効化：疑わしいGitHubトークンを失効させる前に、kitty-monitorデーモンが無効になっていることを確認し、「デッドマンスイッチ」ワイパーが作動しないようにする。
• 統合開発環境（IDE）のロックダウン：VS Code拡張機能のインストールを承認済みの許可リストに限定し、settings.jsonまたはtasks.jsonへの不正な変更を監視する。
• C2インフラのブロック：特定されたTeamPCPのC2ドメインへのトラフィックをすべてブロックする。

TeamPCPの追跡、Mini Shai-Huludへの対抗策にFlashpointを活用

Flashpointでは、TeamPCPがnpm・PyPI・開発者ツールエコシステムに対するサプライチェーン攻撃を拡大し続けると、高い確度で評価しています。攻撃を直接実行するのではなく、BreachForumsを介したより広範なエコシステムの管理・運営に戦術がシフトしていることは、同グループが「プラットフォームレイヤー型犯罪オペレーション」に変わりつつあることを物語っています。TeamPCPは法執行機関の圧力によって「引退」が近づいている可能性を示唆していますが、これを鵜呑みにすることはできません。人々を欺くための意図的な行為であろうと真の撤退計画の一環であろうと、Shai-Huludのオープンソース化は、その攻撃手法がより広範なサイバー犯罪コミュニティに利用可能になったことを意味します。

企業や組織はパッケージ利用の心構えを強化するため、実践的な基準としてOpenSSFのnpmベストプラクティスガイダンスを参照してください。Flashpointのお客様はFlashpoint Igniteにログインすることで、Mini Shai-Huludに関する既知のセキュリティ侵害インジケーター（IoC）やMITRE ATT&CKマッピングをご利用いただけます。FlashpointがどのようにしてTeamPCPなどの脅威アクターグループを追跡し、ソフトウェアサプライチェーンを保護しているのかを確かめるには、デモをお申し込みください。

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。