クリーンなGitHubリポジトリでAIエージェントを騙しマルウェアを実行させる新たな手法を研究者らが共有

クリーンなGitHubリポジトリでAIエージェントを騙しマルウェアを実行させる新たな手法を研究者らが共有

BleepingComputer – June 27, 2026

エージェント型AIコーディングツールを欺いて標的デバイスを侵害する新たな間接的プロンプトインジェクション攻撃手法について、MozillaのZero Day Investigative Network（0DIN）が報告。この攻撃は、一見すると無害なGitHubリポジトリを利用し、セキュリティスキャナーに検知されないペイロードを実行するものだという。

最新のエージェント型IDE（型統合開発環境）やコーディングエージェントは与えられたタスクをこなす上でさまざまなツールの使用を要求できるが、そうしたツールが承認されると、LLMはシェルコマンドの実行やローカルファイルの開封、またネットワーク呼び出しなどを要求できるようになる。このようなツール使用の危険性を示す具体例の1つとして、0DINは新たなエクスプロイト手法を共有した。

この手法は、信頼されたセットアップ手順、通常のエラー処理、および自動化されたエージェントの動作を連鎖させ、一見正常に見えるリポジトリを利用してコード実行権限を取得するもの。悪意あるペイロードはリポジトリ上には存在せず、代わりに実行時にDNSのTXTレコードから取得されるため、コードレビューや静的スキャナーで検出できない上、エージェント自体もこれを認識できないという。具体的には、この攻撃は大きく以下の流れで実行される。

• 開発者が一見無害に見えるGitHubリポジトリのリンクをコピー。Claude Codeにその実行を依頼し、Claude Codeがリポジトリファイルを読み込む。これには、依存関係のインストールやプロジェクトの初期化（例：pip3 install -r requirements.txt、python3 -m axiom init）といった標準的なセットアップ手順が記載されている。
• このPythonパッケージは、初期化されるまで実行を意図的に拒否するように設計されており、ユーザーに対して「python3 -m axiom init」を実行するよう指示するエラーを生成。Claude Codeはこれを通常のセットアップ上の問題として扱い、エラーの解消を試みながら、提案されたコマンドを自動的に実行する。
• 「python3 -m axiom init」を実行するとシェルスクリプトが呼び出される。このスクリプトは、攻撃者が制御するDNS TXTレコードに保存された設定値を取得し、コマンドとして実行する。

0DINによれば、この手法ではクローン作成されたリポジトリ内に悪意あるコンポーネントを仕込むことは不要で、エージェントによって攻撃チェーン全体を自動化することが可能だとされる。攻撃が成功した場合、攻撃者は開発者の権限で実行されるシェルを取得でき、環境変数やAPIキー、ローカルの構成設定ファイルへアクセスできるようになるほか、永続性確立の機会も得られるようになるという。

この攻撃手法は現時点ではまだ「コンセプト」に過ぎないものの、0DINは求人広告やチュートリアル、ブログ記事、ダイレクトメッセージなどを通じてこうしたGitHubリポジトリを配布することは脅威アクターにとって容易だろうと述べている。また実際の被害を防ぐためには、AIエージェントがセットアップコマンド自体が実行する内容だけでなく、そのコマンドが呼び出すスクリプトの内容や、そのスクリプトが実行時に取得するあらゆるものも含めて、実際に何が実行されるのかを明らかにできることが求められると0DINは指摘した。加えて開発者に対しては、AIツールがどのような推奨を行おうとも、見慣れないリポジトリにあるセットアップ手順やスクリプトであれば信頼できないコードとして扱うべきだと推奨している。

新たなMiasmaキャンペーンが20件超のnpmパッケージを汚染

The Register – Fri 26 Jun 2026

サプライチェーンワームShai-Huludの亜種Miasmaマルウェアによる新たな攻撃キャンペーンについて、マイクロソフトとSonatypeが報告。このキャンペーンでは、Leo PlatformおよびRStreamsエコシステムのnpmパッケージにおいて20件超の感染版アップデートが公開されたという。

マイクロソフトの脅威インテリジェンスチームによれば、この攻撃が始まったのは6月24日。攻撃者はnpmメンテナアカウント「czirker」を侵害し、このアカウントを使った完全に自動化されたオペレーションにおいて、3秒足らずの間に20件超のパッケージで悪意あるアップデートを公開したという。

これまでのMiasmaキャンペーン同様、今回もマルウェアは開発者のAWS・Azure・Google Cloud認証情報やGitHubの個人用アクセストークン（PAT）、Kubernetesシークレット、HashiCorp Vaultの認証情報、1Passwordデータ、npm公開クレデンシャルなどを標的にするとされる。また、盗んだデータを被害者アカウントに作成されたGitHubリポジトリへコミットする点や、被害者アカウントがメンテナとなっているパッケージに悪意あるバージョンを再公開し、感染を広げる点なども踏襲している。

一方で進化した点についてもSonatypeによって共有されている。同社によれば、これまでのMiasma亜種がnpmインストールフックを利用するものの、最新の亜種は別の手法を採用しており、ペイロードをインストールプロセスの別の場所に隠しているという。また、この新たな亜種はすべてをNode.jsの下で実行するのではなく、JavaScriptランタイムのBunをダウンロードして実行するという検出回避の試みが見受けられる旨も、Sonatypeにより報告された。

マイクロソフトは該当するパッケージバージョンをインストールしてしまった組織に対し、開発者マシンやCI環境はすでに影響を受けた可能性があるとみなすべきだと奨励。Sonatypeも、認証情報を更新する前に依存関係ロックファイルやパッケージミラー、ビルドキャッシュ、コンテナイメージ、およびCIランナーに悪意のあるリリースの残存コピーがないか確認することを推奨している。