開発者を「配布拠点」へ：NPMエコシステムを襲うShai Huludマルウェアの巧妙な手口とは？

最近報告された「Shai Hulud」マルウェアの新たな亜種は、ソフトウェアサプライチェーン攻撃が、単なる個別のパッケージ侵害から、開発者自身を配布拠点へと変貌させる自己増殖型キャンペーンへと進化していることを示しています。このマルウェアは、JavaScriptエコシステムを標的とし、開発者の環境を自動的に侵害することで、従来の攻撃手法を凌駕する脅威となっています。

Shai Huludマルウェアの攻撃手法と影響

NPMエコシステムへの標的化

Shai Huludマルウェアは、2025年9月に初めて観測されたキャンペーンであり、従来の端末感染ではなく、ソフトウェアサプライチェーンの侵害に焦点を当てています。トロイの木馬化されたNode Package Manager（NPM）パッケージを利用して、認証情報を窃取し、自己拡散を図ります。

二段階の感染プロセス

このマルウェアは、開発者のワークステーションやCI/CDシステムでのnpm install操作中に実行されることが多く、悪意のあるnpmパッケージに埋め込まれた二段階の感染チェーンを展開します。第一段階では、Bun JavaScriptランタイムがシステムにインストールされていない場合にそれを展開します。第二段階では、高度に難読化されたペイロードがバックグラウンドで実行され、認証情報の収集、データ漏洩、そして拡散をオーケストレーションします。

広範な認証情報と秘密情報の窃取

Shai Huludは、ローカルシステム全体にわたる機密性の高い認証情報を積極的に検索します。これには、クラウドプロバイダーのキー、NPM発行トークン、GitHub認証データなどが含まれます。さらに、TruffleHogセキュリティスキャニングツールを悪用し、ソースコード、設定ファイル、git履歴に埋め込まれたハードコード化された秘密情報を発見するために、被害者のホームディレクトリをクロールします。

GitHubインフラストラクチャの悪用

従来のマルウェアがコマンド＆コントロール（C2）サーバーを使用するのに対し、Shai HuludはGitHubインフラストラクチャを悪用し、正規の開発者トラフィックに紛れ込ませます。窃取された認証情報とシステムメタデータは、新たに作成された公開GitHubリポジトリにすべて送信されます。感染したマシンは、攻撃者に永続的なリモートアクセスを提供するために、セルフホスト型GitHub Actionsランナーとして登録されます。

自己増殖と広範囲への影響

攻撃を持続させるため、マルウェアは侵害された開発者アカウントを武器化し、被害者が管理する他のNPMパッケージに悪意のあるコードを注入し、自動的にレジストリに更新版を発行します。Expel社の推定によると、このキャンペーンは、広く使用されている開発者ツールに関連するプロジェクトを含む、25,000以上のリポジトリと数百のパッケージに影響を与えています。

ソフトウェアサプライチェーンにおける信頼の再定義

開発者エコシステムへの新たな脅威

Shai Huludマルウェアは、現代のソフトウェア開発における信頼のレイヤーを標的とすることで、サプライチェーンリスクの新たな局面を示しています。npmに焦点を当てていますが、Expel社は、同様の信頼モデルに依存する他の言語エコシステム、例えばPyPI、RubyGems、Composerなどでも同様の攻撃が出現する可能性があると警告しています。

開発者による意図しない配布

このマルウェアは、開発者自身を意図しない配布者へと変貌させます。悪意のあるコードがパッケージに注入され、そのパッケージが依存関係として利用されることで、攻撃は連鎖的に拡大していきます。これは、開発者が使用するライブラリやツールの信頼性を常に検証することの重要性を浮き彫りにしています。

今後の対策と課題

Shai Huludのような高度なサプライチェーン攻撃に対抗するためには、開発者ツール、パッケージレジストリ、そして開発者のワークフロー全体にわたるセキュリティ対策の強化が不可欠です。静的・動的コード解析、依存関係スキャン、そして厳格なアクセス管理などが、被害を最小限に抑えるための鍵となるでしょう。また、開発者コミュニティ全体でのセキュリティ意識の向上が、この種の攻撃に対する最も強力な防御策となります。