【要点】
◎npm を標的とする自己増殖型のワームによる大規模なサプライチェーン攻撃を指す
【概要】
■ワームの動作
- ワームがnpmのトークン(認証情報)を盗む
- 乗っ取った開発者アカウントを利用して他のパッケージに悪意のあるコードを注入
- 感染パッケージがダウンロードされインストールされると、ワームが拡散
- 機密情報を探し出して外部に送信 (GitHubの個人アクセストークン(PAT)、クラウドサービス(AWS、GCP、Azureなど)のキー、SSHキー、npmトークン等)
- 盗んだ情報を使ってGitHub Actionsのワークフローを不正に作成し、バックドアを仕掛けることで、感染したシステムへのアクセスを維持
【ニュース】
■2025年
◇2025年9月
◆毎週200万回以上ダウンロードされる人気の@ctrl/tinycolorパッケージが高度なサプライチェーン攻撃「Shai-Hulud」によって40以上のNPMパッケージとともに侵害を受けていると発覚 (Gigazine, 2025/09/17 19:00)
https://gigazine.net/news/20250917-shai-hulud-npm-packages/
⇒ https://malware-log.hatenablog.com/entry/2025/09/17/000000_2
◆自己伝播ワーム「Shai-Hulud」のサプライチェーン攻撃で180件超のnpmパッケージが侵害される (Codebook, 2025/09/17)
https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/40916/
⇒ https://malware-log.hatenablog.com/entry/2025/09/17/000000_3
◆JavaScriptやNode.jsで40本以上のパッケージが改ざんされるサプライチェーン攻撃-NPMエコシステムへ再び攻撃 (セキュリティ対策Lab, 2025/09/18)
https://rocket-boys.co.jp/security-measures-lab/javascript-nodejs-npm-supply-chain-attack-40-packages-tampered/
⇒ https://malware-log.hatenablog.com/entry/2025/09/18/000000_1
◆緊急アラート:Shai-Huludの概要と推奨される対策まとめ (Codebook, 2025/09/19)
https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/40992/
⇒ https://malware-log.hatenablog.com/entry/2025/09/19/000000_2
◇2025年11月
◆Second Sha1-Hulud Wave Affects 25,000+ Repositories via npm Preinstall Credential Theft (The Hacker News, 2025/11/24)
[第二のSha1-Hulud攻撃波、npmプリインストール認証情報窃取により25,000以上のリポジトリに影響]
https://thehackernews.com/2025/11/second-sha1-hulud-wave-affects-25000.html
⇒ https://malware-log.hatenablog.com/entry/2025/11/24/000000_3
◆偽のBunランタイムでわずか数時間で1000個以上のNPMパッケージと2万7000個以上のGithubリポジトリがマルウェアに感染 (Gigazine, 2025/11/25 12:39)
https://gigazine.net/news/20251125-shai-hulud-1k-npm-packages-27k-github-infected/
⇒ https://malware-log.hatenablog.com/entry/2025/11/25/000000_1
【ブログ】
■2025年
◇2025年9月
◆npm史上最大:自己伝播ワーム「Shai-Hulud」のサプライチェーン攻撃 (@___nix__(Zenn), 2025/09/17)
https://zenn.dev/nix/articles/0a2910ec65b4a3
⇒ https://malware-log.hatenablog.com/entry/2025/09/17/000000_5
◇2025年10月
◆npmサプライチェーン攻撃Shai-Huludの起点はフィッシング~TOTPの代わりにFIDOで対策を~【セキュア開発技術Blog】 (Proactive Defense, 2025/10/02)
https://www.proactivedefense.jp/blog/blog-training/post-7108
⇒ https://malware-log.hatenablog.com/entry/2025/10/02/000000
◇2025年11月
◆偽のBunランタイムでわずか数時間で1000個以上のNPMパッケージと2万7000個以上のGithubリポジトリがマルウェアに感染 (Gigazine, 2025/11/25 12:39)
https://gigazine.net/news/20251125-shai-hulud-1k-npm-packages-27k-github-infected/
⇒ https://malware-log.hatenablog.com/entry/2025/11/25/000000_1
【検索】
google: Shai-Hulud Attack
google:news: Shai-Hulud Attack
google: site:virustotal.com Shai-Hulud Attack
google: site:github.com Shai-Hulud Attack
■Bing
https://www.bing.com/search?q=Shai-Hulud Attack
https://www.bing.com/news/search?q=Shai-Hulud Attack
https://twitter.com/search?q=%23Shai-Hulud Attack
https://twitter.com/hashtag/Shai-Hulud Attack
■VirusTotal
https://www.virustotal.com/gui/search/Shai-Hulud Attack
【関連まとめ記事】
◆サプライチェーン攻撃 (まとめ)
https://malware-log.hatenablog.com/entry/Supply_Chain_Attack
