何が起きたか
SecurityWeekは2026年6月9日、新しいShai-Hulud亜種(npm以来6月1~3日を標的とするMiasma、およびPyPIを標的とするHades/Mini Shai-Hulud)が両エコシステム全体で100以上のパッケージを侵害したことを報告しました。GitHubはMiasmaがAzureのdurabletaskプロジェクトを再度侵害した後、2026年6月5日にMicrosoft リポジトリ(Azure、Azure-Samples、MicrosoftDocs、Microsoft組織)73個を無効化しました。PyPI Hades亜種は19個のパッケージ全体で37個の悪意のあるwheelファイルを独立して侵害しました。確認されたAI関連の侵害パッケージには、mistralai Python SDKおよびguardrails-aiが含まれています。このキャンペーンはnpm tokenの取り消しによってトリガーされる破壊的な自己破壊/ワイプルーチンを使用し、実質的に修復を試みるメンテナに対するランサムウェアとして機能します。
なぜ重要か
これはAI開発者サプライチェーンへの直接的な攻撃です。AI SDKパッケージ(mistralai、guardrails-ai)が侵害され、AIツール認証情報が特に標的となり、AI coding agentの信頼モデル(Claude Code SessionStartフック)を悪用した新規の永続化メカニズムが標準的な修復から生き残ります。盗まれた認証情報には、AWS、GCP、Azure、GitHub、npm、Kubernetes、Vaultトークン、およびAIサービスAPIキーが含まれます。有効なSLSA Build Level 3 provenance の使用により、標準的なサプライチェーン証明チェックを通じた検出が極めて困難になります。
攻撃経路
自己複製するサプライチェーン wormは、preinstall/postinstall npmライフサイクルフック(およびMiasma波における「Phantom Gyp」binding.gyp)を使用して、インストール時にBunベースの認証情報スティーラーを実行します。このwormは/proc/{pid}/memをスクレイプして全CI/CD秘密を抽出し、AIツールトークンを含む100以上の認証情報タイプを収集してから、侵害されたメンテナが管理する全パッケージの毒された版を再発行します。永続化はSessionStartフックを.claude/settings.jsonに注入し、folderOpenタスクを.vscode/tasks.jsonに注入することによって達成されます — これらはnode_modulesではなくプロジェクト設定に存在するため、パッケージ削除後も生き残ります。
影響を受けるシステム
npmおよびPyPIパッケージ — 確認された侵害パッケージにはmistralai(2.4.6)、guardrails-ai(0.10.1)、@tanstack/*(42パッケージ全体で84個の悪意のあるバージョン)、@redhat-cloud-services(32パッケージ、96バージョン)、@vapi-ai/server-sdk、およびその他が含まれます;Claude Code ~/.claude/settings.jsonフックおよびVS Code .vscode/tasks.jsonの開発者マシン上での永続化
緩和策
侵害されたバージョンについてすべてのnpm/PyPI依存関係を監査する;影響を受けたCI/CDワークフローに存在するすべてのシークレットをローテーションする;AIコード エージェントで開く前に、クローンされたすべてのリポジトリの.claude/および.vscode/tasks.jsonを監査する;すべてのmistralai 2.4.6およびguardrails-ai 0.10.1インストールが侵害されたと見なす;「IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner」npm tokenの説明をチェックする;完全なIOCリストについてStepSecurity、Snyk、およびSonotype勧告を確認する。