-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
Shai-Huludの悪夢再び:800件のnpmパッケージが感染し、シークレットがGitHub上に流出
BleepingComputer – November 24, 2025
2025年9月に発覚し、セキュリティ業界に大きな衝撃を与えた自己伝播型サプライチェーンキャンペーン「Shai-Hulud」。その「第2弾」と思われる新たな攻撃キャンペーンにより、ZapierやENS Domains、PostHog、Postmanなどを含む人気npmパッケージの多数のバージョンがマルウェアに感染したという。Aikido、Wiz、StepSecurityなど複数のセキュリティ企業がこの攻撃について報告している。
Shai-Huludは自己複製型のnpmワームで、侵害された開発者環境を通じて急速に拡散する。システムに感染した同マルウェアはシークレットスキャナーTruffleHogを使ってAPIキーやトークンなどのシークレットを探索し、見つかったものを感染者自身の公開GitHubリポジトリにアップ。その後、npmエコシステムへ感染を広げる目的で自らの新たなコピーをnpmにプッシュする。9月のサプライチェーンキャンペーンは広範な影響が懸念され、米CISAもアラートを発出して注意を促していた。
「Sha1-Hulud: The Second Coming」と呼ばれる新たなShai-Hulud攻撃を最初に発見したのは、Aikido Securityの研究者Charlie Eriksen氏。同氏によると、11月24日の日本時間12:16:26から最初の感染パッケージ(「go-template」およびAsyncAPI関連のパッケージ36件)が観測され始め、その後13:11:55にPostHog関連パッケージの侵害が開始。14:09:25には、Postmanパッケージの侵害が始まったという。
悪意あるパッケージは11月21日から23日にかけてnpmへ追加されたものと考えられており、感染した開発者から開発者シークレットおよびCI/CDシークレットを窃取。このデータは「Sha1-Hulud: The Second Coming」という文言が記された公開GitHubリポジトリにアップされ、さらなる感染拡大を可能にしている。Wizの研究者は、GitHubユーザーおよそ350人に関する25,000件超の悪意あるリポジトリが観測されたと報告しており、キャンペーンが急激に成長していったことが伺える。Wizによれば、同社の記事が執筆される前の数時間で、30分ごとに1,000件弱の新たなリポジトリが追加されていたという。なおGitHub上で検索すると、該当するリポジトリとみられるものは本記事執筆時点で約22,000件ほどヒットする。
今回のShai-Huludキャンペーンの挙動は9月のものと似ているが、ペイロードの構造と伝播ロジックに違いがあることから、「異なる脅威アクターが関与している可能性がある」とWizは指摘。新たなShai-Huludマルウェアを分析したStep Securityによれば、新しいペイロードはBunのインストーラーを装ったドロッパー「setup_bun.js」と「bun_environment.js」という2つのファイルに存在しているとされる。実際の悪性コードはbun_environment.jsの方で、このコードにより盗難データのアップ先となるリポジトリが、ハードコードされた名前ではなくランダムな名称を用いて作られる。
bun_environment.jsは最大100件のnpmパッケージを感染させることができ、9月のキャンペーン時の20件から大幅に成長。また、GitHubでもnpmでも認証を成功させられなかった場合は、感染ユーザーのHomeディレクトリにあるファイルをすべてワイプするという、これまでになかった破壊のステップも追加されている。さらにWizによれば、新たなマルウェアはpreinstallの段階で実行されるため、開発者のPCだけでなく、CI/CD などの自動ビルド環境にも一気に被害が及びやすくなっているという。Eriksen氏がキャンペーンを発見した当初、トロイの木馬化されたパッケージは105件あったものの、それ以降この数は492件にまで増加したとされる。その後Koi Securityは800件のnpmパッケージが侵害されていたことを確認したと述べ、9月の第1弾キャンペーンの影響を上回っていると伝えた。
Wizの研究者らによれば、セキュリティチームに推奨されるのはまず侵害されたパッケージを特定することと、それを正規のものに置き換えることだという。同社はまた組織に対し、npm、GitHub、およびクラウドプロバイダーに紐づくすべての認証情報をローテーションするよう勧めている。
侵害されたnpmパッケージのリストや関連するIoCなどは、各社のブログ記事で確認できる。
- Aikido Security “Shai Hulud Launches Second Supply-Chain Attack: Zapier, ENS, AsyncAPI, PostHog, Postman Compromised”
- Wiz “Shai-Hulud 2.0 Supply Chain Attack: 25K+ npm Repos Exposed”
- StepSecurity “Sha1-Hulud: The Second Coming – Zapier, ENS Domains, and Other Prominent NPM Packages Compromised”
- Socket “Shai Hulud Strikes Again (v2)”
- Koi Security “Live Updates: Sha1-Hulud, The Second Coming – Hundreds of NPM Packages Compromised”
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)
