もはやソフトウェアサプライチェーン攻撃を単独のインシデントとして、あるいはマイナーなオープンソースプロジェクトを標的とする限定的な脅威として捉えることはできなくなりました。こうした攻撃はこの1年で進化を遂げ、開発者エコシステムやCI/CDパイプライン、クラウド接続型リポジトリ、そして暗号資産インフラを直接狙う持続的かつ組織化された脅威キャンペーンに生まれ変わっています。
ここ数か月間、npmやPyPIだけでなく、Docker Hub、OpenVSX、Visual Studio Code Marketplace、GitHub Actions、GitHubリポジトリ、そしてcrates[.]ioといった開発者エコシステムを狙うソフトウェアサプライチェーン攻撃が相次いでおり、認証情報の窃取や盗まれたアクセス権限を下流で再利用する事例が相次いでいます。
この進化し続けるランドスケープの中心に位置するのは、「TeamPCP」をはじめとするクラスター、同グループが展開する「Shai-Hulud」ワーム、そして北朝鮮が関与する複数の攻撃活動です。こうした事実は、かつての攻撃手法と比べ、現代のソフトウェアサプライチェーン侵害がいかに迅速かつ高度に自動化され、相互に深く関連し合うものへ変化しているのかを如実に物語っています。
*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事(2026年6月12日付)を翻訳したものです。
TeamPCPとShai-Hulud:サプライチェーンを襲うワーム型マルウェアの出現
近年の攻撃キャンペーンに見られる顕著な傾向の1つに、単に感染するだけでなく、自律的に拡散するよう設計されたマルウェアの出現が挙げられます。その代表例がShai-Huludです。自己増殖する機能を持ち、認証情報を盗み出すこのマルウェアは、脅威アクターTeamPCPによって使用されています。同グループは遅くとも2025年半ば以降、GitHub Actions、npm、Docker Hub、OpenVSX、VSCode拡張機能、さらにはGitHubの内部リポジトリをターゲットにShai-Huludを展開してきました。しかし、TeamPCPが保有するワームはほかにもあり、2026年3月には「CanisterWorm」を用いた大規模なサプライチェーン攻撃を実行しました。CanisterWormは認証情報窃取とバックドア設置に加え、Kubernetesクラスター全体を消去する機能を備えています。
TeamPCPは5月までに活動を激化させ、自らのマルウェアのソースコードを公開するとともに、大規模なサプライチェーン攻撃を実行するようハッカーたちに呼びかけました。公開されたコード内で確認された認証情報を窃取・抽出するワークフローには、盗み出したデータをGitHubリポジトリへアップロードし、あらかじめ指定されたC2サーバーへ送信、そして認証情報や暗号資産ウォレットといったシークレットを狙って収集する機能など、これまでに確認されていたShai-Huludの挙動が反映されています。こうしたソースコードの公開は、同等の被害をもたらし得る模倣攻撃を誘発する恐れがあります。
Mini Shai-Hulud
これと並行して、TeamPCPは「Mini Shai-Huludの波」とも呼ばれる一連の攻撃を続けました。当初は散発的な侵害に過ぎなかったこの攻撃は急速に拡大し、SAP関連のnpmパッケージ、Bitwarden CLI、TanStack関連パッケージ、node-ipc、そして最近ではAntVエコシステムの大規模侵害にまで発展しました。TanStackのインシデントは、Nx、OpenAI、Mistral AI、Grafana Labsといった主要企業に影響を与えています。Nxの事例では攻撃者が不正に得たアクセス権を悪用し、Visual Studio Code拡張機能「Nx Console」にトロイの木馬を仕込んだ有害バージョンをアップロードした結果、GitHub従業員のデバイスが感染しました。報じられたところによると、このバージョンが公開されていた時間はわずか18分間で、攻撃がどれほど速くサプライチェーンに拡散し得るのかを物語っています。
AntVのインシデントは規模的におそらく過去最大級となっており、攻撃者は侵害したメンテナーのアカウントから数百ものパッケージの悪性アップデートを公開しています。この規模の大きさを受け、npmは二要素認証をバイパスする「granular write token」を無効化せざるを得なくなりました。また、エコシステム全体のメンテナーは直ちにトークンを更新し、パッケージ公開時の保護策を強化するよう促されています。
このキャンペーンの最も際立った特徴の1つとして、コマンド&コントロール(C2)やデータ抽出に正規プラットフォームを広く利用している点が挙げられます。攻撃者は従来のマルウェア用インフラだけに依存するのではなく、盗み出したデータの「デッドドロップ」(情報を受け渡す場所)としてGitHubリポジトリを利用していました。その目的のために侵害されたGitHubトークンを使い、2,500以上の公開リポジトリが作成されたケースもあったと報じられています。
その他の抽出トラフィックは、HTTPS通信をOpenTelemetryトラフィックとして偽装することで正規のサービスに紛れ込ませていました。これ以前に観測されたTeamPCPの活動では、レジリエンスの高いデッドドロップインフラとしてInternet Computer Protocol(ICP)のキャニスターも利用されていました。
Contagious Interview – 開発者採用が引き続き攻撃ベクターに
すべてのキャンペーンにおいて、侵害されたメンテナーや盗まれたパブリッシャーの認証情報が悪用されていたわけではありません。Lazarus、Famous Chollima、STARDUST CHOLLIMA、UNC1069、PolinRiderといった北朝鮮のハッカーグループによるものと広く認識されている「Contagious Interview」キャンペーンは、開発者を標的とする攻撃手法において、既存の手法と同様に危険な進化を遂げていました。攻撃者は公開インフラを直接悪用するのではなく、採用担当者を装い、有害なコーディング課題や面接ツール、リポジトリ関連のタスクを開発者に送りつけます。
「Contagious Interview」は新しいキャンペーンではなく、遅くとも2022年後半から確認されていますが、その攻撃手法は今なお成功を収めているようです。攻撃者はGitHub、GitLab、Bitbucketなどでホストされた「汚染リポジトリ」を開発者に実行させようとします。多くの場合、これらのリポジトリには有害なVSCodeタスクがプロジェクト自体に組み込まれており、開発者がリポジトリへの権限を付与したりタスクを実行したりすると、マルウェアによってリモートアクセス型トロイの木馬(RAT)や情報窃取型マルウェア、認証情報窃取ツールなどが展開されます。このキャンペーンは主に暗号資産関連の開発者や企業を標的としており、従来のソーシャルエンジニアリングの手法と、オープンソースパッケージの悪用やトロイの木馬化されたSDKを組み合わせた手口が用いられています。
TeamPCPとContagious Interviewの先へ:拡大する脅威アクターのエコシステム
TeamPCP/Mini Shai-HuludやContagious Interviewは、サプライチェーンに対する脅威という巨大なエコシステムの一部分に過ぎません。TrapDoor、GlassWorm、JINX-0164といった依存関係混乱(Dependency Confusion)をもたらす複数のキャンペーンは、金銭目的のアクター、日和見主義的な攻撃者、そして実験的なマルウェアの開発者がいずれも同じアタックサーフェスを、すなわち「開発者の信頼経路」を標的にしていることを示しています。
例えばTrapDoorは、npmやPyPI、crates.ioのエコシステムに暗号資産窃取パッケージを配信する一方で、シェルプロファイル、Gitフック、cronジョブ、AIツール構成、SSHベースの伝播ロジックを通じて永続化メカニズムを確立していました。2026年5月にテイクダウンされたGlassWormボットネットは、トロイの木馬化したOpenVSX拡張機能と侵害されたnpmやPythonのパッケージを組み合わせ、窃取された認証情報を使って合計300超のGitHubリポジトリを最終的に汚染しました。JINX-0164はサプライチェーン侵害だけでなくソーシャルエンジニアリングも利用しており、CI/CDパイプラインのシークレットを標的とするマルウェアを拡散しています。
実際に、CI/CDワークフローの設計そのものを標的にするケースが増えています。TanStack関連のインシデントは、汚染されたキャッシュや安全でない「pull_request_target」ワークフローによって、メンテナーに被害を直接与えることなく有害パッケージの公開が可能になることを明らかにしました。このようなサプライチェーン攻撃はここ数週間でほぼ毎日発生しており、個人開発者そのものを狙うのではなく、自動化やワークフローに対する信頼、そしてより一般的に共有されているビルドステートの悪用へ移行していることを示唆しています。
AIツールが次の標的に
近年の攻撃キャンペーンで注目すべきもう1つの動向として、AI支援型開発環境への注目の高まりが挙げられます。複数の事例において、Claude Codeの設定の改ざん、AIエージェントのワークフローのポイズニング、モデルコンテキスト設定の変更、リポジトリへの有害な命令ファイルの挿入などが報告されています。
開発パイプラインとより深い部分で統合されるにつれ、AIツールはますます特権的な信頼境界として扱われるようになり、シークレットの漏洩やワークフローの実行だけでなく、下流のコード生成に影響を与えるようになっています。
まとめ:開発者サプライチェーンに対するマルウェア攻撃
サプライチェーン攻撃は今後も信頼された開発者インフラに焦点を合わせ、素早い展開と高い適応性を維持し続けることが予想されます。有害な拡張機能やパッケージは特定され次第速やかに削除されますが、自動化されたプロセスで展開されるため、たとえ稼働時間が短くても下流の工程に大きな混乱をもたらす可能性があります。防御策としてたびたび挙げられているのは、多要素認証の徹底、有効期限が長い認証情報の削減、GitHub Actionsワークフローのセキュリティ強化、CI/CDトークンの権限を必要最小限にすることなどです。一般論として、組織はパッケージ管理・開発者エンドポイント・CI/CDシステム・クラウドIDを別個のセキュリティドメインとして扱うべきではありません。なぜなら、現代のサプライチェーン攻撃の多くは、こういった複数の環境が相互に深く結びついていることに起因するからです。
注:本稿では2026年5月29日までの情報を取り扱っています。このキャンペーンは現在も継続中で、新たな変異株がすでに確認されています。
Silobreakerは独自の技術を駆使し、脅威アクターのクラスターや悪意のあるパッケージ、キャンペーンのタイムラインを1つのインテリジェンスビューに統合します。その詳細についてはデモをお申し込みください。
※日本でのSilobreakerに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではSilobreakerの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
Silobreakerについて詳しくは、以下のフォームからお問い合わせください。












