Shai-Huludワームのクローンが初観測される　TeamPCPによるソースコードのリーク後

Shai-Huludワームのクローンが初観測される　TeamPCPによるソースコードのリーク後

SecurityWeek – May 18, 2026

TeamPCPがShai-HuludワームのソースコードをGitHub上でリリースしてからほんの数日後、同マルウェアの「クローン」が初めて観測されたという。Ox Securityが報告した。

Shai-Huludは、オープンソースソフトウェア（OSS）エコシステムを標的とするサプライチェーン攻撃キャンペーンで使われるワームマルウェア。認証情報やAPI鍵、トークンなどの秘密情報を盗むほか、感染者の管理するその他のパッケージに自分自身を注入し、悪性バージョンのパッケージを公開するという自己伝播性能も備えている。Shai-Huludキャンペーンは2025年9月に初めて発見され、11月には第2波が発生。2026年4月・5月には、「Mini Shai-Hulud」と名付けられた新たなキャンペーンが実施され、TrivyやBitwarden、Checkmarx、SAP、TanStackなどでのインシデントに発展していた。

関連記事：

その後、Mini Shai-Hulud攻撃の首謀者とされるサイバー犯罪グループTeamPCPは、Shai-Huludマルウェアを「オープンソース化」。ソースコードを含むリポジトリを数件GitHub上で公開し、サイバー犯罪者らに向けてサプライチェーン攻撃での使用を奨励するようなアナウンスをしていた。

その後これらのリポジトリは削除されていたものの、Ox Securityは、ある脅威アクターがインフォスティーラーマルウェアを含む4件の悪意あるパッケージをnpm上に公開しているのを発見。そのうちの1件には、Shai-Huludマルウェアのコードが含まれていたという。

「chalk-tempalte」と名付けられたこのパッケージには、リークされたShai-Huludマルウェアの「ほぼ正確なコピー」が含まれており、難読化はなされておらず、独自のC2サーバーおよび秘密鍵を実装していたとされる。

その他3件のパッケージではいずれもaxiosユーザーを狙ったタイポスクワッティング手法が使われており、うち1件には感染したマシンをDDoSボットネットに引き込む機能が備わっていたという。4件のパッケージの週別ダウンロード数は、合わせて2,678回だとOx Securityは記している。

＜Ox Securityが発見した悪意あるnpmパッケージ＞

• chalk-tempalte：Shai-Huludのクローン（スティーラー）
• @deadcode09284814/axios-util：認証情報・クラウド構成設定を狙うスティーラー
• axois-utils：スティーラー＆DDoSボットネット「phantom bot」
• color-style-utils：暗号資産ウォレットおよびIP情報を狙うベーシックなスティーラー

Ox Securityは、現在観測されているのは単一のアクターのみだとしつつも、「これは今後押し寄せるであろうサプライチェーン攻撃の波の、ほんの序章に過ぎない」と警告している。