技術的な説明
TeamPCP脅威グループは、2026年5月11日に170以上のnpmおよびPyPIパッケージを侵害する自己伝播型の認証情報盗難ワーム('Mini Shai-Hulud')を展開しました。影響を受けたエコシステムには以下が含まれます:(1)TanStack(42パッケージ、週間ダウンロード数1200万以上のReact Routerを含む)、(2)UiPath(65パッケージ)、(3)Mistral AI SDK(npmおよびPyPI)、(4)Guardrails AI(PyPI)、(5)OpenSearch JavaScriptクライアント、(6)Squawkパッケージ(87のネームスペース)。マルウェアはGitHub Actionsワークフロー悪用(pull_request_targetの悪用)を経由して伝播し、OIDCトークンスクレイピングを使用して二要素認証を回避し、開発者ツール設定(.vscode、.claude)に自身を埋め込みました。
攻撃経路
CI/CDパイプライン乗っ取りを経由したサプライチェーン侵害:(1)攻撃者は過度に許容的なpull_request_target GitHub Actionsワークフローを悪用する、(2)npm公開用の短寿命OIDCトークンを盗む、(3)パッケージコードにマルウェアを注入する、(4)認証情報を盗んでダウンストリームプロジェクトに公開することで自己伝播する、(5)開発者ツール設定ファイル(.vscode、.claudeフォルダ)経由で永続化する、(6)検出を回避するために匿名メッセージングアプリ(Session)経由で認証情報を流出させる。
影響を受けるシステム
主にJavaScript/Node.jsおよびPython開発エコシステムに影響します。React(TanStack Router経由)、UiPath RPA、Mistral AI統合、およびGuardrails AIモデル監視を使用するダウンストリームエンタープライズに影響します。推定される影響:数十万の開発者。開発者は接続されたすべての認証情報(AWS、Google Cloud、GitHub、Kubernetes、HashiCorp Vault)を取り消すことをお勧めします。
緩和策
即時対応:(1)5月11日に影響を受けたパッケージをダウンロードした開発者に触れられたすべてのnpmおよびGitHubトークン、AWS/GCP認証情報、Kubernetesサービスアカウント、およびSSHキーを取り消す、(2).vscodeおよび.claude設定ファイルを監査して無許可のエントリを確認する、(3)package-lock.jsonおよびrequirements.txtファイルを侵害されたバージョンについてスキャンする、(4)pull_request_targetワークフローの承認要求を有効にする、(5)スコープが最小限の短寿命OIDCトークンを強制する。中期的対応:(1)Software Bill of Materials(SBOM)スキャンと署名された成果物を採用する、(2)パッケージプロベナンス機能(例:npm provenance)を使用して発行元の身元を確認する、(3)リポジトリレベルのアクセス制御と依存関係のピン留めを実装する、(4)恐喝の脅威を監視する(マルウェアはトークンを取り消した場合にホームディレクトリを削除すると脅迫するデッドマンスイッチを含みます)。