複数ライセンス割引見積
脅威データベース マルウェア Shai Hulud v2 マルウェア

Shai Hulud v2 マルウェア

マルウェアMezoまで
翻訳内容:

Shai-Huludサプライチェーン攻撃の第2波は、npmレジストリ内の830以上のパッケージが侵害された後、Mavenエコシステムにも及んでいます。研究者らは、Maven Centralパッケージ(org.mvnpm:posthog-node:4.18.1)を特定しました。このパッケージには、以前のnpm攻撃と同じ悪意のあるコンポーネント(ローダーのsetup_bun.jsとペイロードのbun_environment.js)が含まれています。現在、影響を受けるJavaパッケージとして知られているのはこれが唯一です。

注目すべきは、このMavenパッケージはPostHogによって公開されたものではないということです。このパッケージは、npmパッケージをMavenアーティファクトとして再構築する自動化されたmvnpmプロセスによって生成されました。Maven Centralは、2025年11月25日時点ですべてのミラーコピーが削除されたことを確認しており、侵害されたnpmコンポーネントが再公開されるのを防ぐための追加の保護対策が実装されています。

グローバル開発者への影響と攻撃目標

この最新の波は世界中の開発者をターゲットにしており、次のような機密データを盗むことを目指しています。

  • APIキー
  • クラウド資格情報
  • npmとGitHubトークン

また、ワームのような自己複製型で、サプライチェーンへのより深い侵入を容易にします。このShai-Huludの亜種は、9月の最初の亜種よりもステルス性、攻撃性、破壊性が高くなっています。npmのメンテナーアカウントを侵害することで、攻撃者はトロイの木馬化されたパッケージを公開し、開発者のマシンにバックドアを設置したり、GitHubリポジトリに流出させる秘密情報を自動的にスキャンしたりすることができます。

マルウェアの仕組み:二重のワークフローとステルス技術

この攻撃では、次の 2 つの悪意のあるワークフローが利用されます。

  • セルフホストランナーの登録: GitHub ディスカッションが開かれるたびに任意のコマンドを実行できます。
  • シークレット収集ワークフロー: 資格情報を体系的に収集し、GitHub にプッシュします。
  • Shai-Hulud v2 の主な機能強化は次のとおりです。
  • Bun ランタイムを使用してコアロジックを隠す
  • 感染上限を20パッケージから100パッケージに拡大
  • 検出を回避するためにGitHub上のランダムな流出リポジトリ

これまでに 28,000 以上のリポジトリが影響を受けており、キャンペーンの規模の大きさとステルス性が明らかになっています。

悪用された脆弱性とサプライチェーンの仕組み

脅威アクターは、GitHub Actionsワークフロー、特にpull_request_targetトリガーとworkflow_runトリガーにおけるCIの設定ミスを悪用しています。たった1つのワークフローの設定ミスが、リポジトリを「最初の感染者」に変え、悪意のあるコードの急速な拡散を招きかねません。

この攻撃は、AsyncAPI、PostHog、Postman に関連するプロジェクトを標的としており、npm 上の複数の Nx パッケージに影響を与えた 2025 年 8 月の S1ngularity 攻撃から始まったより広範なキャンペーンを継続しています。

影響:秘密漏洩とシステムリスク

キャンペーンの分析から次のことがわかります。

  • 数百の GitHub アクセス トークンと AWS、Google Cloud、Microsoft Azure からのクラウド認証情報が盗まれました。
  • 秘密を含む 5,000 以上のファイルが GitHub にアップロードされました。
  • 4,645 のリポジトリで特定された 11,858 個の固有の秘密のうち、2025 年 11 月 24 日の時点で 2,298 個が有効のまま公開されていました。

これは、1 人のメンテナーが侵害されると連鎖反応が引き起こされ、何千もの下流のアプリケーションが感染する可能性があることを示しています。

開発者向けの推奨事項

露出を軽減するために、開発者は次のことを行う必要があります。

  • すべてのAPIキー、トークン、認証情報をローテーションする
  • 侵害された依存関係を監査して削除する
  • クリーンパッケージバージョンを再インストールする
  • 最小権限アクセス、シークレットスキャン、自動ポリシー適用により CI/CD 環境を強化

シャイ=フルード氏は、現代のソフトウェアサプライチェーンが依然として非常に脆弱であると強調しています。攻撃者は、オープンソースソフトウェアの公開、パッケージ化、展開方法におけるギャップを悪用し続けており、多くの場合、ゼロデイ脆弱性に頼っていません。最も効果的な防御策は、ソフトウェアの構築、共有、そして利用方法を見直すことです。

トレンド

人事部承認依頼詐欺

フィッシング, スパム
仕事関連のメッセージを確認する際には、常に注意を払うことが不可欠です。特に、サイバー犯罪者が社内の部署を装って機密情報にアクセスするケースが増えているためです。こうした手口の最新事例の一つが、人事部を装った承認依頼詐欺です。これは、アカウントの認証情報を盗み出し、企業システムに侵入することを目的としたフィッシング詐欺です。 人事を装った欺瞞メッセージ セキュリティ研究者が調査した不正メールは、企業の人事部からの内部通知を装っています。これらのメールは、今後の人材育成フェーズに関する最新情報を装い、新しい報酬体系、休暇ポリシーの改訂、給与調整について受信者が確認する必要があると主張していま...

BAFAIAIランサムウェア

ランサムウェア
現代の脅威はますます複雑化し、その影響範囲も拡大しているため、個人および企業のシステムを悪意のあるソフトウェアから保護することは不可欠です。ランサムウェアがデバイスに侵入すると、多くの場合、データ損失、業務の中断、機密情報の漏洩など、即時かつ深刻な被害をもたらします。BAFAIAIランサムウェアは、こうした高度な脅威の一つであり、強力な防御対策がもはやオプションではなく、必要不可欠である理由...

SafariBookings詐欺

フィッシング, スパム
サイバー犯罪者は、「SafariBookings詐欺」と呼ばれるフィッシングキャンペーンで旅行業界を狙っています。これらのメールは、正規の企業、組織、またはサービスプロバイダーとは一切関係がありません。旅行予約サービスからの公式メッセージを装っていますが、その真の目的は受信者を欺き、個人情報を盗み出すことです。これらのメールに騙されると、アカウントの乗っ取り、金銭的損失、個人情報の盗難といった被害に遭う可能性があります。 詐欺の仕組み 詐欺メールは、多くの場合「カナダ出身のBalogh」といった偽名を名乗る顧客がサファリツアーの見積もりを依頼したと主張します。メッセージには、大人10名で...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
47,642
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
38,134
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
35,492
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...