クラウド認証情報を盗むマルウェアに注意!
2025年12月29日、サイバーセキュリティ企業 SlowMist は、自己増殖型ワーム「Shai-Hulud(シャイ・フルード)」の新しい亜種が発見されたと警告を発表した。今回確認された「Shai-Hulud 3.0」は、信頼されたソフトウェア依存関係を悪用し、クラウド認証情報を盗み出すサプライチェーン攻撃の第3世代とされる。
このマルウェアは、Aikido Security の研究者チャーリー・エリクセン氏が12月27日に発見した。感染は NPM エコシステム内のパッケージ「@vietmoney/react-big-calendar」を通じて広がっており、SlowMist の CISO(最高情報セキュリティ責任者)である23pds氏は「Web3関連の開発チームは直ちに防御体制を強化すべきだ」と警告した。
クラウドインフラの認証キーを狙う
Shai-Hulud 3.0 は、正規パッケージに偽装して NPM 経由で開発環境に侵入する。感染後、AWS、Google Cloud Platform、Microsoft Azure、そして GitHub などのアクセスキーを環境変数や設定ファイルから抽出し、外部の GitHub リポジトリ(「Goldox‑T3chs: Only Happy Girl」)に送信することが確認されている。
Unit 42 の調査によると、以前のバージョンは2025年9月以降に数百のパッケージを感染させ、11月の第2波では2万5000件以上のリポジトリに影響を与えたという。このマルウェアは「ワーム型」の仕組みを持ち、盗んだ NPM トークンを使って、開発者が管理する他のパッケージに感染版を自動公開する点が特徴だ。
技術的に進化した新バージョン
エリクセン氏の分析では、「Shai-Hulud 3.0」ではコード構造が前世代から刷新され、「bun_installer.js」「environment_source.js」といったファイル名に変更されている。さらに、前バージョンに搭載されていた「デッドマン・スイッチ」──認証情報の窃取に失敗すると被害者のホームディレクトリを削除する機能──は削除された。
コードの難読化も再度行われており、「前回の改変版ではなく、攻撃者が元のソースコードへ直接アクセスしている可能性が高い」と同氏は指摘した。現時点で感染拡大は限定的だが、KuCoin と Binance の報告によると「実験段階にある」可能性が高い。とはいえ、サプライチェーン攻撃は安定動作が確認されると一気に拡散する傾向があり、警戒が求められている。
JFrog Security Research のデータでは、2025年11月の第2波ではわずか数日で796件のパッケージが感染したと報告されている。
業界全体に依存関係の監査を呼びかけ
SlowMist をはじめとする複数のセキュリティ企業は、企業や開発者に対して「NPM 依存関係の即時監査」「バージョン固定」「流出の可能性がある認証情報の早期更新」を強く推奨している。
研究者らは、依存パッケージを自動で更新しないようにし、常に特定のバージョンを指定して使用すること、継続的な依存関係スキャンを導入すること、ビルド時の不審な通信を監視することが有効だと述べている。
