TanStack npmサプライチェーン攻撃の内幕：Mini Shai‑Huludワームはどう拡散したのか

調査によると、これらの改ざんパッケージには開発者環境やCI/CDシステムの認証情報を盗むマルウェアが含まれていました。

TanStackのライブラリはReact開発者を中心に非常に広く使われており、なかには週に数百万ダウンロードされるものもあります。つまり、侵害されたパッケージは短時間で多くの開発環境に取り込まれる可能性がありました。

さらに調査が進むと、この事件は単独の侵害ではなく、より大きな攻撃キャンペーンの一部であることが判明します。

研究者による分析では次の規模が確認されました。

• 侵害パッケージ数：172
• 悪意あるバージョン：400以上
• 影響エコシステム：npmとPyPI

これらの多くは2026年5月11日〜12日の48時間以内に公開されていました。

GitHub Actionsの弱点はどう悪用されたのか

今回の攻撃の特徴は、パッケージ公開の自動化パイプラインを乗っ取った点です。

TanStackの事後分析によると、攻撃はGitHub Actionsワークフローの複数の弱点を組み合わせて成立しました。

主に使われた要素は以下です。

• pull_request_target ワークフローの不適切な利用
• フォークと本体リポジトリ間のキャッシュ汚染（cache poisoning）
• GitHub Actionsランナーからの OIDCトークン抽出

これらを連鎖的に悪用することで、攻撃者のコードがリリースパイプライン内部で実行され、パッケージ公開に使われる認証情報を取得できました。

重要なのは、公開処理自体は正規のCI/CDパイプラインが実行していたことです。

そのため、公開されたパッケージは

• 正規のビルド成果物に見える
• 信頼された公開者として配布される
• 署名やビルド証明を持つ場合もある

といった特徴を持ち、通常のアップデートと区別しにくい状態になりました。

「Mini Shai‑Hulud」ワームの拡散メカニズム

改ざんされたパッケージには、自己拡散を狙うワーム型マルウェアが含まれていました。

依存関係としてパッケージがインストールされると、次のような方法でマルウェアが実行される場合があります。

• npmのライフサイクルスクリプト
• 依存関係のインストール時のフック
• モジュール読み込み時のコード実行

実行後、マルウェアは追加ペイロードをダウンロードし、環境から機密情報を収集します。

主な目的は以下でした。

• 認証情報やシークレットの収集
• CI/CD環境へのアクセス
• 盗んだトークンを使った新たなパッケージ侵害

つまり、開発者PC → CI/CD → 他のオープンソースプロジェクトという形で横方向に拡散する設計になっていました。

パッケージマネージャーはインストール時にスクリプトを実行するため、依存関係をインストールするだけで感染が起こる可能性がありました。

狙われた認証情報とシステム

マルウェアの主なターゲットは、開発者環境やクラウド環境の認証情報でした。

調査では、以下のような秘密情報が探索対象になっていたと報告されています。

• AWS IAM認証情報
• GitHub Personal Access Token
• npm公開トークン
• HashiCorp Vaultトークン
• Kubernetesサービスアカウント
• SSH秘密鍵
• Docker設定ファイル
• 環境変数や開発設定

マルウェアは開発マシンやCIランナーの多数のファイルパスをスキャンして、こうした情報を収集しようとしていました。

そのため、侵害パッケージをインストールした環境は潜在的に侵害された可能性があると見なされ、認証情報のローテーションが推奨されました。

OpenAIのユーザーデータへの影響

影響範囲の大きさから、下流のサービスやAI企業への影響も懸念されました。

しかし、OpenAIは今回のTanStack関連のサプライチェーン問題について調査した結果、ユーザーデータがアクセスまたは漏えいした証拠は確認されていないと発表しています。

つまり、少なくとも公開された情報の範囲では、OpenAIのユーザー情報がこの攻撃で流出した証拠は見つかっていません。

なぜこの攻撃が重要だったのか

Mini Shai‑Hulud事件は、近年のソフトウェアサプライチェーン攻撃の変化を示しました。

アカウントではなく自動化を攻撃
開発者の認証情報ではなく、CI/CDパイプラインそのものを乗っ取りました。

正規署名付きマルウェア
正規のリリースプロセスから公開されたため、信頼されたビルドとして配布されました。

クロスエコシステム攻撃
npmだけでなくPyPIにも同時に広がりました。

ワーム型の拡散設計
盗んだ認証情報を使って、さらに新しいパッケージ侵害を試みました。

これらの要素が組み合わさり、2026年でも特に大きなオープンソースサプライチェーン事件の一つとされています。

開発チームへのセキュリティ教訓

今回の事件から、多くの開発チームが以下の対策を再確認しました。

依存関係インストールは「コード実行」と考える
パッケージのインストール時にスクリプトが実行される可能性があります。

認証情報のローテーション
影響パッケージをインストールした可能性がある場合、すべてのシークレットを更新するべきです。

CI/CDワークフローの強化
GitHub Actionsの権限を最小化し、pull_request_targetなどリスクの高い設定を見直します。

依存関係の監査
2026年5月11〜12日に公開されたバージョンを中心に、使用している依存関係を確認することが推奨されました。

ビルドパイプラインの監視
異常な依存関係インストール、ネットワーク通信、公開処理を検知できる監視体制が重要です。

オープンソースサプライチェーンへの教訓

現代のソフトウェアは、数千の依存パッケージと自動化パイプラインの上に成り立っています。

Mini Shai‑Hulud攻撃は、その自動化と信頼の仕組み自体が攻撃の拡散装置になり得ることを示しました。

ビルド環境、CI/CD、依存関係管理、開発者ワークステーションは、今や単なる開発ツールではなく、重要なセキュリティ境界として扱う必要があると多くの企業が認識するきっかけとなりました。