何が起きたか
Mini Shai-Huludは、より広範なShai-Hulud/Miasmaサプライチェーン攻撃(UNC6780/TeamPCPに帰属)の一部です。2026年6月19日、セキュリティハントにより、21個の侵害されたGitHubアカウント全体で説明マーカー「A Mini Shai-Hulud has Appeared」を持つ1,614個の流出リポジトリが特定されました。このワームはpostinstallフックおよびGitHubワークフロー実行経由で伝播し、継続的に認証情報を収集および流出させます。
なぜ重要か
これはAI/ML開発者を対象とした自己伝播サプライチェーンワームです。開発者のアカウントが侵害されると、ワームはクラウドプロバイダー、AIプラットフォーム、および内部システムへの認証情報を収集します。これらの認証情報は、ラテラルムーブメント、データ盗難、およびモデル汚染に使用されます。アクティブな伝播(6月19日の発見)と認証情報流出により、これはTier Aの脅威です。
攻撃経路
ワームは開発者のアカウントに感染し、環境変数、.envファイル、CI/CDシークレット、およびクラウド設定ファイルに保存された認証情報を収集します。その後、新しいパブリックGitHubリポジトリを作成し、盗まれた認証情報をプレーンテキストとしてプッシュし、攻撃者がアクセスできるようにします。ワームは盗まれたアイデンティティを使用して他のリポジトリに悪意あるコードをコミットし、感染を伝播させることで伝播します。
影響を受けるシステム
GitHubリポジトリおよびアカウント。AI/ML開発者およびCI/CDパイプラインを対象とします
緩和策
GitHubアカウントが侵害された場合、すべての認証情報を即座にローテーションしてください。GitHubのセキュリティキー要件を有効にしてください。短命な認証情報およびAPIトークンを使用してください。未認可のリポジトリ作成およびコミットを監視してください。アウトバウンド認証情報流出に対するネットワークレベルの検出を実装してください。