VU#534320: NPMサプライチェーンの脆弱性が、資格情報の盗難と自己増殖からのエコシステムの保護の課題を明らかにする
「Shai-Hulud」と名付けられた重大なnpmサプライチェーン侵害が、2025年9月に公表されました。この自己増殖型マルウェアは、500以上のnpmパッケージに影響を与えています。この攻撃は、認証情報の窃取と自動化されたパッケージ公開を利用して拡散します。postinstallスクリプトやCI/CDプラットフォームの侵害といった既知の脆弱性を悪用しています。マルウェアは、パッケージインストール後にpostinstallスクリプトを介して悪意のあるbundle.jsファイルを実行することから始まったと考えられます。このスクリプトは、TruffleHogなどのツールを使用して秘密情報をスキャンし、収集しました。窃取された認証情報は、マルウェアを他のリポジトリに公開するために使用され、侵害されたシステムは新たな感染経路となりました。GitHub Actionsは、以前にも見られた戦術である自動化されたトロイの木馬化のために特に悪用されました。影響としては、500以上のパッケージが侵害され、CrowdStrikeのnpmアカウントが侵害された可能性があります。GitHubとCISAはこのインシデントに関して注意喚起を発表しています。対策として、npmユーザーは侵害されたパッケージを監査・置換し、package-lock.jsonを使用して依存関係をロックし、内部ミラーの利用を検討すべきです。可能な限りpostinstallスクリプトを無効にすることも推奨されます。開発者は、露出した認証情報をローテーションし、CI/CD環境で最小権限の原則を強制する必要があります。