答え公開済み19 ソース
Mini Shai‑Huludサプライチェーン攻撃を解説
2026年5月のMini Shai‑Huludは、GitHub Actionsの公開パイプラインとOIDC認証を悪用してTanStackのnpmパッケージ42個(84バージョン)を改ざんし、最終的に170以上のnpm・PyPIパッケージへ拡散した。 マルウェアはインストール時に実行され、GitHubトークンやクラウド認証情報、CI/CDシークレットなど開発者の資格情報を収集する設計だった。
1.8M0
AI プロンプト
openai.comCreate a landscape editorial hero image for this Studio Global article: What happened in the Mini Shai-Hulud supply chain attack involving TanStack and OpenAI, how were two OpenAI employee devices compromised, wh. Article summary: The Mini Shai-Hulud incident was a self-spreading supply-chain attack that compromised TanStack npm packages and reportedly involved two OpenAI employee devices, leading OpenAI to rotate affected macOS app signing certif. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# OpenAI says no user data stolen after supply-chain hackers accessed employee devices. ## OpenAI said it found no evidence that user data was accessed after a supply-chain attack" source context "OpenAI says no user data stolen after supply-chain hackers ... - Mint" Reference image 2: visual subject "Infosecurit
2026年5月に発覚した Mini Shai‑Hulud は、オープンソース開発のエコシステムを狙った大規模なサプライチェーン攻撃の一つです。npmやPyPIのパッケージ公開パイプラインを乗っ取り、正規パッケージとしてマルウェアを配布するという手法が使われました。
調査の過程で、OpenAIは 社内環境の社員デバイス2台が影響を受けた ことを確認しました。ただし同社は 顧客データがアクセスされた証拠は見つかっていない としています。
この事件は、CI/CDや自動公開パイプラインなど、現代のソフトウェア開発基盤そのものが攻撃対象になり得ることを示しました。
Mini Shai‑Huludとは
Mini Shai‑Huludは、脅威グループ TeamPCP に関連付けられている 自己拡散型のサプライチェーンワーム です。従来のように個々のメンテナーのアカウントを盗むのではなく、オープンソースプロジェクトの 自動リリースパイプライン を狙いました。
2026年5月11〜12日の大規模な波では、攻撃者は次のことに成功しました。
- GitHub Actions の公開ワークフローを乗っ取る
- OIDC(OpenID Connect)認証 を悪用して有効な公開トークンを生成
- 正規のパッケージとしてレジストリへ悪意あるバージョンを公開
これらは公式のパイプライン経由で公開されたため、パッケージは正規のビルド署名や ビルド証明(provenance) を持つように見え、セキュリティツールによる検出が難しくなっていました。
TanStackパッケージの侵害
特に大きな影響を受けたのが TanStack エコシステムです。TanStackはReactなどのWebアプリで広く使われるJavaScriptライブラリ群を提供しています。
2026年5月11日、攻撃者はわずか数分の間に
- 42個の
@tanstack/*npmパッケージ
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人々も尋ねます
「Mini Shai‑Huludサプライチェーン攻撃を解説」の短い答えは何ですか?
2026年5月のMini Shai‑Huludは、GitHub Actionsの公開パイプラインとOIDC認証を悪用してTanStackのnpmパッケージ42個(84バージョン)を改ざんし、最終的に170以上のnpm・PyPIパッケージへ拡散した。
最初に検証する重要なポイントは何ですか?
2026年5月のMini Shai‑Huludは、GitHub Actionsの公開パイプラインとOIDC認証を悪用してTanStackのnpmパッケージ42個(84バージョン)を改ざんし、最終的に170以上のnpm・PyPIパッケージへ拡散した。 マルウェアはインストール時に実行され、GitHubトークンやクラウド認証情報、CI/CDシークレットなど開発者の資格情報を収集する設計だった。
次の実践では何をすればいいでしょうか?
OpenAIでは社員デバイス2台が影響を受けたが、顧客データへのアクセスは確認されていない。組織は依存関係の監査、資格情報ローテーション、OpenAI macOSアプリの新しい署名証明書の許可設定を確認する必要がある。
情報源
- opensourceforu.comMalicious Open Source npm Packages Breach OpenAI ...
- stepsecurity.ioA Self-Spreading Supply Chain Attack Compromises TanStack npm ...
- expel.comMini Shai Hulud: Cross-ecosystem supply chain worm targeting npm ...
- turingpoint.deHardening npm Supply Chains: Lessons from Mini Shai- ...
- snyk.ioTanStack npm Packages Hit by Mini Shai-Hulud
Loading comments...
Comments
0 comments