何が起きたか
Shai-Hulud/Miasmaサプライチェーンキャンペーンの Hades wave(UNC6780/TeamPCPに帰属)は、2026年6月8日に26以上のPyPIパッケージを汚染し、特にAI/MLおよびバイオインフォマティクスツールを標的にしました。このキャンペーンでは、LLM scanner evasion(AI ベースのトリアージツールを標的とするペイロード内のプロンプトインジェクション)と credential-wiper 抑止機構(盗まれた認証情報がローテーションされた場合に破壊的なアクションを脅迫するデーモン)が導入されました。このワームは、MCP サーバー設定、Anthropic/OpenAI API キー、AI コーディングエージェントトークンを含むAI固有の認証情報を標的にしています。langchain-core-mcp typosquatは悪意のあるパッケージの1つで、LangChainユーザーを直接標的にしていました。Zscaler ThreatLabzの分析(検証済み完全テキスト)は、2025年9月のV1から2026年6月のIDEおよびPyPI波を経たキャンペーンの進化を文書化しており、ソースコードは2026年5月12日にMITの下で公開リリースされました。これにより、再利用可能な攻撃インフラストラクチャとなりました。
なぜ重要か
このキャンペーンは、観測された中で最も洗練されたAIエコシステムサプライチェーン攻撃です。AI開発者とそのツールを直接標的にし、フロンティアモデルへのアクセスを制御するAI API キーとモデルプロバイダー認証情報を流出させています。LLM scanner evasion技術(AI ベースのセキュリティアナライザーを欺くため、悪意のあるペイロードにプロンプトインジェクションを埋め込む)は、新規で懸念される段階的な上昇であり、AI支援セキュリティツールを損なわせます。ワイパーデーモンはインシデント対応プレイブックを反転させます。ワームソースコードの公開 MIT リリースは、すべての脅威アクターがこのキャンペーンを実行できるようになったことを意味します。
攻撃経路
侵害されたパッケージは *-setup.pth ファイルを配信し、(任意のインポート前に)Pythonインタプリタの起動時に実行されます。このフックはGitHubからBun JavaScriptランタイムをダウンロードし、プロセスメモリを読み取り(Linux上では/proc/{pid}/mem経由、macOSではMach API、WindowsではReadProcessMemory)、14のAI/クラウド/DevOpsシステム全体で認証情報を収集する難読化された_index.jsペイロードを実行します。盗まれたデータはAES-256-GCM + RSA-2048暗号化され、攻撃者が管理するGitHubリポジトリに流出されます。'gh-token-monitor'永続化デーモンは、盗まれたトークンがローテーションされた場合に破壊的なアクションを脅迫します。ペイロードはLLMベースのセキュリティスキャナを回避するためのプロンプトインジェクションテキストを埋め込んでいます。
影響を受けるシステム
バイオインフォマティクス、グラフ-ML、ディープラーニングツール全体の26以上のPyPIパッケージ(langchain-core-mcp typosquatを含む);任意のOS上のPython環境;CI/CDパイプライン
緩和策
未知のソースからの *-setup.pth ファイルについてPython環境を監査してください。インストール済みパッケージをIOCリスト(embiggen、ensmallen、gpsea、langchain-core-mcp、rsquests、tlask、rlask、その他)に照らし合わせて確認してください。ワイパーデーモンをトリガーするのを避けるため、認証情報をローテーションする前に影響を受けたシステムを隔離してください。パッケージを検証されたハッシュにピン留めしてください。stygian-cerberus-* および tartarean-charon-* GitHub リポジトリ名(C2 exfil リポ)を監視してください。