Edgen Crypto·Nov 24 2025, 12:35「Shai-Hulud」と名付けられた自己増殖型マルウェアワームがNPMレジストリに侵入し、暗号通貨アプリケーションで使用されるものを含む500以上のソフトウェアパッケージを侵害しました。この攻撃は、ソフトウェア開発全体における資格情報やデジタル資産の盗難の重大なリスクをもたらします。
高度で自己増殖型のサプライチェーン攻撃により、世界最大のソフトウェアレジストリであるNode Package Manager (NPM) エコシステムの完全性が侵害されました。セキュリティ研究者によってShai-Huludと名付けられたこのワームは、暗号通貨プロジェクトや**イーサリアムネームサービス (ENS)**に不可欠なライブラリを含む500を超えるNPMパッケージを感染させていることが確認されました。主要なペイロードは認証情報を盗むマルウェアであり、開発者や組織にとって重大なセキュリティ脆弱性と直接的な金銭的損失の脅威をもたらしています。
この攻撃は自己増殖型ワームとして機能します。最初の侵入経路は、NPM開発者アカウントの侵害であると考えられています。これは2025年8月下旬のs1ngularity/Nx侵害の副次的影響であり、初期のGitHubトークン盗難がより広範な侵害の連鎖を可能にしました。
このワームは自動化されたプロセスで動作します。開発者の環境に感染すると、NPMとGitHubのアクセストークンを盗みます。次に、これらの認証情報を使用して、侵害されたメンテナが所有する他のすべてのパッケージにアクセスします。各パッケージについて、マルウェアはパッケージのtarballを取得し、package.jsonファイルを変更し、悪意のあるローカルスクリプト (bundle.js) を埋め込み、アーカイブを再構築し、新しくトロイの木馬化されたバージョンをNPMレジストリに再公開します。この自動増殖により、数百のパッケージを迅速に感染させることができました。
Shai-Huludワームによる直接的な金銭的脅威は、強力な情報窃取ツールとしての機能にあります。このマルウェアは、感染した開発者環境から機密データをスキャンするように設計されています。主な標的は、GitHubやNPMなどのサービスの認証トークンであり、これらは基本的にソフトウェアリポジトリと配布チャネルへの鍵となります。
金融およびWeb3セクターにとって特に重要なのは、このマルウェアが暗号通貨ウォレットの秘密鍵を特定して流出させるように明示的に設計されていることです。感染したマシンの開発者が環境にウォレットキーを保存している場合、マルウェアはそれらを盗み出し、攻撃者が関連するデジタル資産を直接制御できるようにします。これにより、脅威は風評被害を超えて、直接的かつ不可逆的な金銭的損失へと移行します。
この攻撃は、オープンソースおよび暗号通貨コミュニティ全体に弱気なセンチメントをもたらし、ソフトウェアサプライチェーンのセキュリティに対する信頼を損ねました。JavaScriptの依存関係にNPMに依存している企業にとって、このイベントは、露出を特定し、改善するために即時かつ費用のかかるセキュリティ監査を必要とします。生産環境に@ctrl/tinycolorのような侵害されたパッケージやCrowdStrikeに関連するライブラリが存在する可能性は、重大なセキュリティ脆弱性や風評被害につながる可能性があります。
暗号エコシステムへの影響は特に深刻です。ENSやその他の暗号機能に関連するライブラリの侵害は、直接的な脅威ベクトルを示しています。ウォレットキーの広範囲な盗難の可能性は、影響を受けるプロジェクトや分散型アプリケーションの広範なセキュリティに対する信頼を損なう可能性があります。
セキュリティ企業は、この攻撃の深刻さとメカニズムについて概ね意見が一致しています。Wiz Researchは、このキャンペーンが「2025年8月下旬のs1ngularity/Nx侵害の直接的な下流」であると評価し、最初のGitHubトークン盗難とこの大規模なパッケージ汚染イベントを結びつけています。この評価は、ワームの自己増殖性を分析したPalo Alto Networks Unit 42やStepSecurityを含む他のサイバーセキュリティ団体も共有しています。
セキュリティプロバイダーのSocketは、この拡散を積極的に追跡しており、開発者が侵害を特定するのに役立つ影響を受けるパッケージのリストを公開しています。これらの企業の協調的な分析は、脅威の洗練された自動化された性質を強調し、データ窃取操作としての主要な機能を裏付けています。
Shai-Huludワームは、ソフトウェアサプライチェーン攻撃の重大なエスカレーションを表しています。このような攻撃は新しいものではありませんが、開発者のパッケージポートフォリオ全体にわたって自己増殖するワームの能力は、危険な進化を示しています。これは、単一の失敗点(盗まれた開発者トークン)を、連鎖的でエコシステム全体に及ぶセキュリティインシデントに変えます。
このイベントは、現代の依存関係に依存するソフトウェア開発に内在するシステムリスクを浮き彫りにする重要な警告として機能します。アクセストークンのローテーション、より厳格なアクセス制御の実装、外部ソフトウェアパッケージの整合性を検証するためのツールの利用など、堅牢なセキュリティプラクティスに新たな緊急性を与えます。このインシデントは、米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) を含む政府機関からの警告を促し、重要なインフラストラクチャに対する脅威の深刻さを示しています。