TeamPCP、 Shai-HuludワームをGitHub上で「オープンソース化」

TeamPCP、 Shai-HuludワームをGitHub上で「オープンソース化」

The Register – Wed 13 May 2026

ここ数か月だけで数々のサプライチェーン攻撃を仕掛けてきたサイバー脅威グループTeamPCPが、Shai-Huludワームマルウェアをオープンソース化したと報じられている。

セキュリティ系メディアのOxは5月12日、GitHub上に以下のテキストを含むリポジトリ2件が公開されているのを発見。「独立した脅威アクターらがすでにこれを改変し、リーチを広げ始めている」と主張した。

「Shai-Hulud: Open Sourcing The Carnage

Is it vibe coded? Yes. Does it work? Let results speak.

Change keys and C2 as needed. Love – TeamPCP」

（訳）「Shai-Hulud：カーネイジのオープンソース化

バイブコーディングされている？イエス。ちゃんと機能する？結果が物語るだろう。

必要に応じてキーとC2を変更せよ。愛を込めて – TeamPCP」

The Register紙がこれらのリポジトリをチェックしたところ、1つ目には1件のフォークが、2つ目には31件のフォークが記録されていたとされる。さらにその数時間後に、これらの件数はそれぞれ5件、39件に増えており、拡散が始まっているとするOxの主張内容に合致していることが確認されたと伝えた。本記事執筆時点では、いずれのリポジトリもアクセス不能となっている。

両リポジトリのソースコードをOxのアナリストが調べたところ、過去のShai-Hulud攻撃のものと同様のパターンがすぐに認められたという。このパターンには、盗んだ認証情報を新たなGitHubリポジトリにアップロードする挙動などが含まれるとされる。

またOxの報告とは別に、マルウェアリサーチャーのvx-undergroundも同様のオープンソースShai-Huludリポジトリの存在についてXに投稿していた。このリポジトリはその後、削除されたとvx-undergroundは伝えている。

Oxは今回の動きについて、「TeamPCPはもはやただマルウェアを拡散しているだけではない、能力を拡散させるようになっている」と説明。オープンソース化により、あらゆる脅威アクターに独自の亜種を構築するためのツールが配布され、すでに模倣者が出現し始めていると警告した。

マルウェア開発者らは自身の開発したツールをほかのアクターに販売することがあるものの、無償提供する行為はサイバー犯罪者にしては珍しいとされる。なおTeamPCPは今回、非常に自由度の高いMITライセンスを選択していたとのこと。