答え公開済み16 ソース
Mini Shai‑Hulud:npmパッケージを狙う自己拡散型サプライチェーン攻撃の内幕
2026年5月、攻撃者はnpmの開発者アカウントを乗っ取り、約20分で317パッケージに637の悪意あるバージョンを公開した。 マルウェアはnpmインストール時に実行され、GitHubトークンやクラウド認証情報、パスワードマネージャーのデータなどを収集する。
1.3M0
AI プロンプト
openai.comCreate a landscape editorial hero image for this Studio Global article: How are hackers carrying out the ongoing “Mini Shai‑Hulud” supply‑chain attacks on open‑source software packages, what happened in the recen. Article summary: Hackers are using compromised maintainer accounts and automated package-publishing to turn trusted open-source packages into credential-stealing malware delivery channels. The latest Mini Shai-Hulud wave hijacked an npm . Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "HN Mini Shai-Hulud Strikes Again: 314 npm Packages Compromised. On May 19, 2026, a sophisticated supply chain attack dubbed “Mini Shai-Hulud” was executed" source context "Scraper Spider" Reference image 2: visual subject "HN Mini Shai-Hulud Strikes Again: 314 npm Packages Compromised. On May 19, 2026, a sophisticated supply cha
オープンソースのパッケージエコシステム(npmやPyPIなど)は、開発者同士の信頼によって成り立っています。多くのプロジェクトは外部のライブラリを依存関係として取り込み、日常的にアップデートを自動取得します。
Mini Shai‑Hulud と呼ばれる攻撃は、この信頼構造を利用したサプライチェーン攻撃です。攻撃者は人気のオープンソースパッケージを直接偽装するのではなく、パッケージのメンテナーアカウントを乗っ取り、正規の更新としてマルウェアを配布します。
2026年5月、この攻撃はnpmエコシステム全体に広がり、多数のJavaScriptパッケージが短時間で改ざんされる事件につながりました。
攻撃の基本手法:メンテナーアカウントの乗っ取り
今回の攻撃の特徴は、偽パッケージを新規公開するのではなく、既存の信頼されたパッケージを内部から改ざんする点です。
攻撃者は公開権限を持つメンテナーアカウントに侵入し、既存パッケージの新しいバージョンとして悪意あるコードを公開しました。
多くのプロジェクトでは「セマンティックバージョニング(semver)」の範囲内で依存関係が自動更新されるため、開発者やCIシステムが通常の npm install
2026年5月19日の事件:20分で600以上の悪意ある公開
2026年5月19日、セキュリティ研究者はnpmアカウント atool が侵害されたと報告しました。
攻撃者はわずか約22分間で317パッケージに637の悪意あるバージョンを公開しました。これは自動化された公開スクリプトによる一斉リリースとみられています。
影響を受けた主なライブラリには次のようなものがあります。
size-sensorecharts-for-reacttimeago.js- Alibabaのデータ可視化ライブラリ群
@antv/*
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人々も尋ねます
「Mini Shai‑Hulud:npmパッケージを狙う自己拡散型サプライチェーン攻撃の内幕」の短い答えは何ですか?
2026年5月、攻撃者はnpmの開発者アカウントを乗っ取り、約20分で317パッケージに637の悪意あるバージョンを公開した。
最初に検証する重要なポイントは何ですか?
2026年5月、攻撃者はnpmの開発者アカウントを乗っ取り、約20分で317パッケージに637の悪意あるバージョンを公開した。 マルウェアはnpmインストール時に実行され、GitHubトークンやクラウド認証情報、パスワードマネージャーのデータなどを収集する。
次の実践では何をすればいいでしょうか?
同キャンペーンの別の攻撃ではTanStackライブラリが侵害され、OpenAIの社員2人の端末にも影響が確認されたが、ユーザーデータや本番システムへの影響はなかった。
情報源
- techcrunch.comHackers have compromised dozens of popular open source ...
- safedep.ioMini Shai-Hulud Strikes Again: 317 npm Packages Compromised
- microsoft.comMini Shai Hulud: Compromised @antv npm packages enable CI/CD ...
- stepsecurity.ioA Self-Spreading Supply Chain Attack Compromises TanStack npm ...
- thehackernews.comMini Shai-Hulud Worm Compromises TanStack, Mistral AI ...
Loading comments...
Comments
0 comments