FFeel.Trading
ニュース一覧GitHub WormがnpmパッケージにヒットしダウンロードIDは1,600万件
Bitcoin.com2026-05-20 06:05:26

GitHub WormがnpmパッケージにヒットしダウンロードIDは1,600万件

ORIGINALGitHub Worm Hits npm Packages With 16M Downloads
AI 影響分析Grok が分析中...
📄原文全文· trafilatura により自動抽出Gemini 翻譯3520 文字
GitHub Actionsのパイプラインを乗っ取り、悪意のあるnpmパッケージを公開する自己複製型のワームが再び発生し、AntV、echarts-for-react、およびMicrosoftのdurabletask SDKが侵害されました。 GitHub Wormが1,600万ダウンロードを記録するnpmパッケージを攻撃 主要なポイント Mini Shai-HuludがGitHub Actionsを悪用し、週次1,600万ダウンロード規模の攻撃を実行 脅威グループTeam PCPによるものとされるMini Shai-Huludキャンペーンは、一般的なサプライチェーン攻撃とは異なる手法をとります。攻撃者は開発者の認証情報を盗んで直接公開するのではなく、GitHub上のターゲットリポジトリをフォークし、`pull_request_target`ワークフローをトリガーするプルリクエストを作成します。 これにより、GitHub Actionsのキャッシュが悪意のあるpnpmストアで汚染されます。その結果、感染したパッケージは有効な署名済み証明書を保持し、SLSAの来歴チェックを通過するため、標準的なセキュリティツールからは完全にクリーンなものとして認識されます。 5月19日、最新の波がAntVデータ可視化エコシステムを襲いました。攻撃者は@atool名前空間の侵害されたメンテナーアカウントにアクセスし、22分間の自動化されたバーストで323個のパッケージにわたり300以上の悪意のあるパッケージバージョンを公開しました。 影響を受けたパッケージの中には、Apache EchartsのReactラッパーであり、週次で約110万ダウンロードを記録するecharts-for-reactが含まれています。この波で影響を受けたすべてのパッケージの週次ダウンロード数の合計は、約1,600万と推定されています。 最も懸念される技術的な詳細は、開発者が介入を試みた場合に発生する事象です。このマルウェアはデッドマンズ・スイッチをインストールします。これは、60秒ごとにGitHubのAPIをポーリングし、作成したnpmトークンが取り消されたかどうかを確認するシェルスクリプトです。そのトークンには「IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner」という説明が付与されており、開発者がトークンを取り消すと、感染したマシンのホームディレクトリが即座に消去されます。 このトークンは、GitHub、AWS、Azure、GCP、Kubernetes、Hashi Corp Vault、および90以上の開発者ツール設定から認証情報を盗み出し、接続されたクラウドインフラストラクチャ全体に横展開します。 一度の攻撃で複数の被害 このキャンペーンはPython Package Index (PyPI) も同時に標的としており、5月19日にはMicrosoftの公式durabletask Python SDKの悪意のある3つのバージョンが公開されました。これらは、28 KBの認証情報窃取ペイロードを密かにダウンロードして実行します(初期実行後、AWS、Azure、GCP環境全体に移動可能)。 GitHubは5月20日に対応を発表し、npm公開に関する3つの主要な変更を概説しました。具体的には、組織が数百のパッケージを大規模に信頼された公開へ移行するためのバルクOIDCオンボーディング、GitHub ActionsやGitlab以外のOIDCプロバイダーサポートの拡大、そしてパッケージが公開される前にメンテナーがレビューを行い、多要素認証 (MFA) の承認を必須とする新しい段階的公開モデルの導入です。 同社はまた、従来のレガシートークンを廃止し、FIDOベースの2FAへの移行を促し、デフォルトでのトークンベースの公開を禁止する計画です。2025年9月のキャンペーンの初期の波において、GitHubはnpmレジストリから500以上の侵害されたパッケージを削除しました。 ブロックチェーンセキュリティ企業のSlowmistは、5月14日に週次82万2,000ダウンロードを記録するパッケージnode-ipcの悪意のある3つのバージョンを特定し、同じキャンペーンの一部として早期警告を発していました。 該当するパッケージを使用している開発者は、直ちに依存関係ツリーを監査し、悪意のあるトークンを先に取り消すことなくすべての認証情報をローテーションし、Snyk、Wiz、Socket.dev、Step Securityが公開している侵害の指標を確認することが推奨されています。
データステータス✓ 全文抽出済み原文を読む(Bitcoin.com)
🔍過去の類似イベント· キーワード + 銘柄照合0 件
類似イベントが見つかりません(より多くのデータサンプルまたは embedding 検索が必要です。現在は MVP キーワード照合を使用しています)
原始情報
ID:9ba20d314a
ソース:Bitcoin.com
公開:2026-05-20 06:05:26
カテゴリ:一般 · エクスポートカテゴリ neutral
銘柄:未指定
コミュニティ投票:+0 /0 · ⭐ 0 重要 · 💬 0 コメント