Mini Shai-Hulud Is Back：新たなサプライチェーン攻撃がTanStackやMistral AIのパッケージを襲撃

Mini Shai-Hulud Is Back：新たなサプライチェーン攻撃がTanStackやMistral AIのパッケージを襲撃

SecurityWeek – May 12, 2026、BleepingComputer – May 12, 2026、The Hacker News – May 12, 2026

Shai-Huludサプライチェーンキャンペーンの最新版「Mini Shai-Hulud Is Back」により、npmおよびPyPIにおける数百件のパッケージが侵害されたという。認証情報窃取マルウェアの配布を意図したこの攻撃には、オープンソースソフトウェアエコシステムに対するサプライチェーン攻撃をここ数か月だけで何件も仕掛けてきたハッキンググループ「TeamPCP」が関与しているものと考えられている。

これまでのShai-Huludキャンペーンまとめ

Shai-Huludは、2025年9月に初めて観測されたサプライチェーンワームで、その後も数度にわたってソフトウェアサプライチェーンを脅かしてきた。今回の最新版は、同キャンペーンの第4波と考えられている。

＜4つのShai-Huludキャンペーン＞

• 第1波「Shai-Hulud」：初の自己伝播型npmワーム。
  • 時期：2025年9月14〜16日
  • 影響規模：500件超のパッケージ、700件超のリポジトリに影響
  • 注目ポイント：初の自己伝播型npmワーム。正規のシークレットスキャナーTruffleHogを使用し認証情報を探索。
• 第2波「Sha1-Hulud 2.0」
  • 時期：2025年11月21〜23日
  • 影響規模：492件のパッケージ（月間ダウンロード数累計1億3,200万回）、25,000件超のリポジトリに影響
• 第3波「Mini Shai-Hulud」
  • 時期：2026年4月29日
  • 影響規模：SAP/Intercomエコシステム
• 第4波「Mini Shai-Hulud Is Back」
  • 時期：2026年5月11日
  • 影響規模：169件のパッケージに影響、373件の悪意あるバージョンが観測される

TanStackに始まりその他複数のパッケージに拡大

Mini Shai-Hulud Is Backキャンペーン（※単に「Mini Shai-Hulud」キャンペーンと表記しているベンダーもあり）は5月11日、正規のTanStackリリースパイプラインを通じ、42件のパッケージで悪意あるパッケージアーティファクト84件が公開されたことでスタート。そこから、UiPath、Mistral AI、OpenSearch、Guardrails AIといった複数の人気プロジェクトに素早く拡大した。なお、TanStackに対するサプライチェーン侵害には、CVE-2026-45321（CVSSスコア 9.6）というCVE識別子が割り当てられている。

これまでのShai-Huludキャンペーンと同様、今回のMini Shai-Huludワームも開発者の認証情報やAPIキー、トークン、クラウド認証情報・シークレット、暗号資産ウォレット、AIツール・メッセージングアプリのシークレットといった機密性の高い情報をターゲットとしている。加えて、侵害したNPMおよびGitHub Actionsトークンを利用して、感染した開発者がアクセス権を有するパッケージの悪性バージョンを公開する自己伝播性能も健在だという。

なお、「Mini Shai-Hulud」という表現は、Shai-Huludキャンペーンの第3波とされる、TeamPCPの関与が疑われる2026年4月29日のSAPの公式npmパッケージ侵害でも用いられていた。

関連記事：

影響範囲

今回のMini Shai-Hulud Is Backキャンペーンでは、TanStackのほか以下のパッケージに影響が広がったとされる。

• guardrails-ai@0.10.1（PyPI）
• mistralai@2.4.6（PyPI）
• @opensearch-project/opensearch@3.5.3、3.6.2、3.7.0、3.8.0
• @squawk/mcp@0.9.5
• @squawk/weather@0.5.10
• @squawk/flightplan@0.5.6
• @tallyui/connector-medusa@1.0.1、1.0.2、1.0.3
• @tallyui/connector-vendure@1.0.1、1.0.2、1.0.3

など

OX Securityによれば、npm・PyPIレジストリで影響を受けたパッケージの数は合計170件超。これらのパッケージのダウンロード数は、合わせて5億1,800万回を超えるとされる。盗まれた認証情報に紐づくリポジトリは400件弱作成されており、どのリポジトリにも「Shai-Hulud: Here We Go Again」という文字列が含まれていたという。

なお、侵害されたパッケージの一覧は、以下のセキュリティベンダーのブログ記事で確認できる。

• Aikido “Mini Shai-Hulud Is Back: npm Worm Hits over 160 Packages, including Mistral and Tanstack”
• SafeDep “Mass Supply Chain Attack Hits TanStack, Mistral AI npm and PyPI Packages”
• Snyk “Packages affected by zero-day vulnerabilities”
• Wiz “Mini Shai-Hulud Strikes Again: TanStack + more npm Packages Compromised”
• StepSecurity “TeamPCP’s Mini Shai-Hulud Is Back: A Self-Spreading Supply Chain Attack Compromises TanStack npm Packages”
• Socket “TanStack npm Packages Compromised in Ongoing Mini Shai-Hulud Supply-Chain Attack”

TanStackの侵害

これまでのTeamPCPの侵害では、盗難シークレットを悪用してアカウントの侵害およびパッケージの改変が行われていた。しかし今回のMini Shai-Huludキャンペーンでは、既知のセキュリティ上の弱点3つを連鎖させて使用することで、悪意あるTanStackパッケージアーティファクトが公開されていたという。TanStackによれば、これらの弱点とは以下を指すとされる。

• pull_request_targetの「Pwn Request」設定ミス
• フォークとベースリポジトリの信頼境界を跨ぐGitHub Actionsのキャッシュポイズニング
• ActionsランナープロセスからのOIDC（OpenID Connect）トークンのランタイムメモリ抽出

攻撃者は、孤立コミットを介してGitHubのフォークにペイロードを仕込み、公開済みのNPMアーカイブにそのペイロードを注入した後、プロジェクトのCI/CDパイプラインを乗っ取ってパッケージをNPMに直接公開したとStepSecurityは説明。その際、ワークフロー内のOIDCトークンを悪用し、ワークフロー自体の公開ステップを迂回していたとされる。

またWizによれば、攻撃者はTanStack/routerリポジトリのフォークを「zblgg/configuration」にリネームし、プルリクエストを送信してpull_request_targetワークフローをトリガー。これにより攻撃者のコードが実行され、GitHub Actionsのキャッシュが汚染されたという。「その後、正当なメンテナによるプルリクエストがメインブランチにマージされた際、リリースワークフローによって汚染されたキャッシュが復元された。そして、攻撃者が制御するバイナリが、GitHub ActionsランナーのプロセスメモリからOIDCトークンを直接抽出した」とWizは説明している。

「信頼」の悪用

盗んだGitHub OIDCトークンを利用することで、攻撃者は署名証明書を取得し、悪意のあるパッケージに有効なSLSA Provenanceがあるかのように見せかけることができるように。これにより、84件のパッケージは「信頼されたアイデンティティ」のもとで公開された。

なお、SLSA ProvenanceとはSigstoreによって生成される暗号証明書であり、パッケージが信頼できるソースからビルドされたことを検証するためのもの。「このワームは、正規のビルドパイプラインそのものを乗っ取ったため、こうした証明書を作成することができた」とSnykは指摘している。

この、「信頼された公開プロセスを悪用する」という点が、今回の攻撃において特に注目されている。これにより、ワークフロー内で実行される攻撃者のコードが、OIDC権限を利用してビルド中に短命な公開トークンを「生成」し、npmトークンを盗むことなくパッケージを公開することが可能になっている。StepSecurityの研究者Ashish Kurmi氏は、記録されている中では初の「有効に認証された悪意あるパッケージを生成するnpmワーム」だと指摘した。

マルウェアの動き

侵害されたいずれのTanStackパッケージにおいても、tarファイルに直接2.3 MBのインプラント「router_init.js」が注入されていたことがわかっている。このインプラントには複数段階の認証情報スティーラーが含まれており、データ収集・抜き取りや永続性の確保を行うほか、自己破壊の性能も備える。

＜スティーラーが標的とする情報＞

• GitHub Actions OIDCトークンおよびPAT
• Git認証情報
• npm公開トークン
• AWS Secrets Manager、IAM、ESCタスク認証情報
• Kubernetesサービスアカウントトークン、クラスター認証情報
• HashiCorp Vaultトークン
• SSH鍵
• Claude Codeの構成設定情報
• VS Codeタスク
• .envファイル

集められた認証情報は、以下3つのチャンネルを介して抽出される。このうちGitHubリポジトリはこれまでのShai-Huludキャンペーンでも見受けられた手法だが、Sessionネットワークが使用されるのは今回のキャンペーンが初めてだという。

• https://git-tanstack[.]comドメイン
• Sessionネットワーク（.getsession.org経由の暗号化された情報抽出）
• 盗まれたトークンを使用して作成されたGitHubリポジトリ（作者名「claude@users.noreply.github.com」）

Sessionドメインはエンタープライズ環境内でブロックされにくいことから、このインフラの使用は検出を回避したい攻撃者たちの意図的な取り組みであるとみられている。

また、マルウェアはClaude CodeのフックおよびVS Codeの自動実行タスクに自分自身を書き込む。この永続性確立性能により、再起動したり悪意のあるパッケージをアンインストールしてもマルウェアが生き延びるようになっているという。

Python亜種

一方で、Guardrails AIやMistral AIのPyPIパッケージの悪性バージョンには、npmの者とは異なるペイロードが含まれていたと伝えられている。

Guardrails AIのパッケージには13行の新たなコードが含まれており、これがgit-tanstack[.]comから難読化されていないペイロードを取得・実行する仕組みになっていた。このペイロードはLinuxシステムでのみ実行されるモジュラー型の認証情報スティーラーで、広範な認証情報を収集可能。また同マルウェアの亜種としては初めて、1PasswordやBitwardenといったパスワードマネージャーもターゲットにできるようになっているという。

同ペイロードはまた、イスラエルまたはイランのシステムで実行された場合にはMP3ファイルをフルボリュームで再生。その後システム上のファイルの削除を試みるという、TeamPCPのCanisterWormでみられたのと類似する性能が備わっている。

関連記事：

一方で、悪意あるMistral AIパッケージはリモートのサーバー（83.142.209[.]194）から認証情報スティーラーをダウンロードする設計になっていたとマイクロソフトが報告。このペイロードには国を判別するロジックも備わっており、ロシア語環境を回避できるようになっているとされる。加えて、システムがイスラエルまたはイランにあると判断された場合、6分の1の確率で「rm -rf /」を実行するジオフェンス機能付きの破壊的ブランチも存在すると説明した。

サプライチェーン攻撃におけるシフト

今回の新たなMini Shai-Huludキャンペーンについて、Upwindのサイバーセキュリティ研究者Avital Harel氏は、「サプライチェーン攻撃が、個別のパッケージの侵害から信頼されたCI/CDインフラを通じたID駆動型の拡散へと、より広範な変化を遂げていることを反映」したものであると指摘。攻撃者が公開ワークフローとパイプラインのアイデンティティにアクセスできるようになれば、ソフトウェアデリバリープロセス自体がマルウェア配布メカニズムに変貌してしまうとした上で、「インストールやビルド時の動作の可視化がますます重要になっている」とコメントした。

ユーザーには、影響を受けるパッケージの侵害されたバージョンが自身の環境に到達していないかをチェックすること、システムをクリーンアップすること、また侵害された可能性のある認証情報およびシークレットをすべて更新することが推奨される。