答え公開済み16 ソース
Mini Shai‑Hulud:600以上の悪意あるnpmパッケージが数分で公開されたサプライチェーン攻撃
2026年5月、TeamPCPによるMini Shai‑Hulud攻撃でnpmとPyPIの170以上のパッケージが侵害され、400以上の悪意あるバージョンが公開された。[1][4] 5月19日の波では、侵害されたメンテナアカウントを利用し約22分で637の悪意あるバージョンが323パッケージに公開されたと報告されている。[5][7] 攻撃者はGitHub ActionsのOIDCトークンやSLSA署名・Sigstore証明書を悪用し、マルウェアを正規ビルドのように見せかけた。[1][10]
1.4M0
AI プロンプト
openai.comCreate a landscape editorial hero image for this Studio Global article: What happened in the Mini Shai-Hulud npm supply chain attack on May 19, 2026, how were more than 630 malicious package versions published so. Article summary: Mini Shai-Hulud was a fast-moving npm/PyPI supply-chain worm campaign attributed to TeamPCP that abused maintainer access, CI/CD secrets, GitHub Actions OIDC trust, and provenance signing to publish malicious packages th. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "# ‘Mini Shai-Hulud’ malware compromises hundreds of open-source packages in sprawling supply-chain attack. A rapidly spreading malware campaign has infected hundreds of software pa" source context "‘Mini Shai-Hulud’ malware compromises hundreds of open-source packages in sprawling supply-chain attack | CyberScoop" Reference imag
オープンソースのソフトウェア開発は「信頼」に大きく依存しています。信頼できるメンテナ、信頼できるCI/CDパイプライン、そして署名付きビルド。ところが2026年に発覚した Mini Shai‑Hulud 攻撃は、その信頼構造自体を武器に変えることが可能であることを示しました。
2026年5月、TeamPCP と呼ばれる脅威グループは npm と PyPI の人気パッケージを標的にした大規模なサプライチェーン攻撃を展開しました。特に 2026年5月19日 の攻撃では、侵害されたメンテナアカウントを利用し、約22分で323パッケージに637の悪意あるバージョン が公開されたと報告されています。
さらに衝撃的だったのは、これらのマルウェアが 正規のビルド証明(SLSA provenance)や署名を持っていた 点です。つまり、通常の検証プロセスでは「本物のリリース」に見えてしまう状態でした。
Mini Shai‑Huludキャンペーンの全体像
Mini Shai‑Huludは単一の事件ではなく、複数段階で拡大した攻撃キャンペーンです。
研究者によると、2026年5月10日から12日の間に 19のネームスペースにまたがる170以上のnpm・PyPIパッケージが侵害 され、400以上の悪意あるバージョン が公開されました。
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人々も尋ねます
「Mini Shai‑Hulud:600以上の悪意あるnpmパッケージが数分で公開されたサプライチェーン攻撃」の短い答えは何ですか?
2026年5月、TeamPCPによるMini Shai‑Hulud攻撃でnpmとPyPIの170以上のパッケージが侵害され、400以上の悪意あるバージョンが公開された。[1][4]
最初に検証する重要なポイントは何ですか?
2026年5月、TeamPCPによるMini Shai‑Hulud攻撃でnpmとPyPIの170以上のパッケージが侵害され、400以上の悪意あるバージョンが公開された。[1][4] 5月19日の波では、侵害されたメンテナアカウントを利用し約22分で637の悪意あるバージョンが323パッケージに公開されたと報告されている。[5][7]
次の実践では何をすればいいでしょうか?
攻撃者はGitHub ActionsのOIDCトークンやSLSA署名・Sigstore証明書を悪用し、マルウェアを正規ビルドのように見せかけた。[1][10]
情報源
- snyk.ioMini Shai-Hulud Hits AntV: 300+ Malicious npm Packages ...
- app.daily.devMini Shai-Hulud Hits AntV: 300+ Malicious npm Packages...
- labs.cloudsecurityalliance.org[PDF] Mini Shai-Hulud: When Signed Provenance Certified a Supply ...
- labs.cloudsecurityalliance.orgMini Shai-Hulud: npm Worm Targets AI Developer Supply Chain
- opensourceforu.comHackers Abuse GitHub Actions And SLSA Signing To Spread ...
Loading comments...
Comments
0 comments