Shai-Hulud:開発パイプラインと暗号ウォレットに浸透するサプライチェーンマルウェア 「Shai-Hulud」と名付けられた隠密なマルウェアキャンペーンは、開発者がソフトウェアを構築・配布するために依存する自動化ツールチェーンを悪用しており、その影響範囲は驚異的である。研究者は、Node Package Manager(NPM)とPyPIリポジトリに合計約320の悪意のあるパッケージがこのキャンペーンに関連していることを特定した。これらのパッケージは合計で月間5億1800万回以上のダウンロードを記録している。暗号プロジェクトやこれらのエコシステムに依存するすべてのチームにとって、その意味は明確である:開発ツールへの攻撃者のアクセスは、クラウド資格情報や暗号ウォレットの盗難に直結する可能性がある。 感染の広がり方 Shai-Huludはエンドユーザーを直接攻撃しない。代わりに、信頼できるパッケージやビルドパイプラインを侵害し、通常の開発およびリリースプロセス中にマルウェアが自動的に下流プロジェクトに取り込まれるようにする。悪意のあるコードはしばしば正当なパッケージレジストリから提供され、有効な署名を持ち、通常のチェックを通過するため、発見が困難になり、被害が発生するまで気づかれないことが多い。 なぜこれが重要なのか Contrast SecurityのCTOであるJeff WilliamsはDecryptに次のように語った。「現代のソフトウェアは、他人のコードを実行して構築されています。開発者は単にライブラリを『ダウンロード』するだけではありません。インストールし、それを使ってビルドし、テストし、デプロイし、最終的には実行します。悪意のあるライブラリを実行すれば、あなたが行えるほぼすべての操作が可能になります。」彼は、AIの進歩がこの問題を悪化させていると警告し、その影響を「コンピュータを二重スパイにする」ようなものだと例えた。 実際の事例と影響 - 5月初め、Microsoft Threat Intelligenceは、PyPI上のMistral AIパッケージに悪意のあるコードが挿入されたことを公表した。このマルウェアは、Hugging FaceのTransformersライブラリのように見えるファイルを取得し、ML環境に紛れ込むように設計されていた。Mistralは後に、影響を受けた開発者デバイスが関与していたが、自社インフラが侵害された証拠は見つからなかったと発表した。 - 2日後、OpenAIは従業員のデバイス2台がShai-Hulud関連のマルウェアに感染したことを確認した。このマルウェアは一時的に限定された内部コードリポジトリへのアクセスを攻撃者に与えたが、顧客データ、本番システム、または知的財産が侵害された証拠はないと報告した。 - 5月11日のTanStack(多くのWebおよびクラウドアプリを支える広く使われているオープンソースJavaScriptフレームワーク)への攻撃により、このキャンペーンはより広範な注目を集めた。 範囲と関与するアクター 研究者はShai-Huludの以前のバージョンを2025年9月までさかのぼり、それらを「TeamPCP」というハンドル名で活動するサイバー犯罪者グループと関連付けた。この犯罪グループは後に約4,000のプライベートGitHubリポジトリを盗んだと主張し、そのデータを販売すると表明した。GitHubは内部リポジトリへの不正アクセスを調査中であると述べている。一方、セキュリティ企業OX Securityは、クラウド資格情報や暗号ウォレット認証情報、SSHキー、環境変数を盗む模倣パッケージがすでに流通しており、一部のバージョンは感染したマシンをDDoSボットネットに加える試みも行っていると報告した。 技術的注意点と帰属の手がかり OX Securityは、いくつかの新規サンプルが隠蔽処理されていない状態で漏洩したShai-Huludのソースコードとほぼ同一であることを指摘し、異なるアクターが新しいバージョンを開発するのではなく、既存コードを再パッケージしている可能性を示唆した。このような再利用は拡散を加速する:小さなまたはマイナーなパッケージが侵害されると、それを信頼するすべての下流プロジェクトに攻撃者が侵入できる経路が提供され、トークン盗難、悪意のある公開、繰り返しの汚染が可能になる。 暗号プロジェクトが注目すべき理由 ブロックチェーンおよび暗号チームにとって、攻撃面には開発マシン、CI/CD、パッケージレジストリ、自動公開システムが含まれる。これらの領域は攻撃者にとって高いレバレッジを提供するため、ますます標的となっている。ウォレット認証情報、環境変数、またはクラウドAPIキーが侵害された依存関係やビルドキャッシュを通じて露出すると、攻撃者は開発環境から本番システムおよび財務資産へと移動できる。 実用的な防御策 専門家は、ソフトウェアサプライチェーンが単なる鎖ではなく伝播ネットワークであることを強調し、防御策もそれに応じて設計されるべきだと述べている。推奨される対策には以下が含まれる: - 依存関係の制御を厳格化し、バージョンを固定する。 - 公開プロセスのセキュリティを強化し、署名付きで検証済みのリリースを行う。 - CI/CDには最小権限の資格情報を使用し、トークンを定期的にローテーションする。 - 隔離されたビルド環境と不変のビルドキャッシュを使用する。 - 依存関係の改ざんや脅威インテリジェンスフィードによる自動スキャンを行い、悪意のあるパッケージを早期に検出する。 SecurityBridgeのセキュリティ研究ディレクターであるJoris Van De VisはDecryptに次のように語った。「Shai-Huludは、攻撃面が従来のアプリケーション層を超え、現代の開発およびデプロイワークフローを支えるオープンソースパッケージまで及んでいることを思い出させてくれます。」暗号開発者にとって、これはスマートコントラクトやウォレットの保護と同じくらい開発パイプラインの保護が重要であることを意味します。なぜなら、汚染されたビルドが資金侵害への最も速いルートになり得るからです。 要約:攻撃者は信頼されたインフラを武器化しています。パブリックパッケージ、自動CI/CD、共有ビルドキャッシュに依存するプロジェクトは、コードと暗号資産を守るためにより厳格な制御と迅速な検出を導入しなければなりません。
Shai-HuludマルウェアがNPM/PyPIパッケージを感染、暗号通貨ウォレットを脅かす
ChainGPT共有
概要
Shai-Huludマルウェアは、320以上のNPMおよびPyPIパッケージを感染させ、月間5億1800万回以上のダウンロードに影響を与えています。この脅威は暗号通貨ウォレットとクラウド認証情報を標的としており、最近ではMistral AIおよびOpenAIで侵害が発生しました。研究者は、このマルウェアを以前にGitHubリポジトリ4000個を盗んだTeamPCPと関連付けています。オンチェーンニュースは、依存関係のチェックと署名済みリリースの強化の緊急性を強調しています。AIと暗号通貨のニュースは、オープンソースエコシステムにおけるリスクの増加を示しています。専門家は、さらなる拡散を防ぐために、隔離されたビルド環境の使用を促しています。
出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。
デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。