主なポイント

✓ Shai-Huludに関連する攻撃は、npmパッケージのメンテイナーアカウントを狙い、悪意のあるコードを配布する手法を用いています。
✓ 攻撃者は、信頼されたパッケージを利用して、開発者の機密情報を盗むことを目的としています。

社会的影響

! この攻撃は、オープンソースソフトウェアの信頼性に対する懸念を引き起こしています。
! 開発者は、信頼されたパッケージが悪意のあるコードを含む可能性があることを認識する必要があります。

編集長の意見

Shai-Huludの攻撃は、オープンソースエコシステムにおける新たな脅威を示しています。攻撃者は、メンテイナーアカウントを侵害することで、信頼されたパッケージを悪用し、開発者の機密情報を盗むことができます。このような攻撃は、従来の脆弱性に依存するのではなく、信頼の連鎖を利用しているため、非常に危険です。特に、CI/CDシステムは高価値の資格情報を保持しているため、攻撃者にとって魅力的なターゲットとなります。今後、開発者はパッケージの更新に対してより慎重になる必要があります。信頼されたメンテイナーからの更新であっても、常にリスクが伴うことを認識し、セキュリティレビューを継続的に行うことが求められます。また、開発者は、npmトークンや環境変数の監査を行い、異常なインストールスクリプトやメンテイナーの変更を確認することが重要です。これにより、攻撃の影響を最小限に抑えることができます。オープンソースのリスクは今後も増大する可能性があるため、開発者は常に最新の情報を把握し、適切な対策を講じる必要があります。

解説

信頼を裏切る「正規更新」：Shai‑Huludがメンテイナー乗っ取りでAntV系npmに侵入し、CI/CDの秘匿情報を刈り取る構図です

今日の深掘りポイント

メンテイナー＝“新しい境界”という現実。アカウント奪取ひとつで、人気パッケージの正規更新が一瞬で“攻撃配布面”に変わります。
依存性の固定や過去のダウンロード実績は、今回のような攻撃には効きにくいです。信頼シグナルが逆用されるからです。
もっとも危ないのはCI/CDです。環境変数に長寿命のトークンを置く文化のままでは、横展開の起点をタダで提供してしまいます。
最短の防御は「インストール時スクリプトの遮断」「ネットワーク分離」「発行者の証跡（provenance）検証」の三点セットです。
依存管理の運用則（人の目・2人承認・メンテイナー変更検知）を“仕組み”に落とし込めるかが、次の分水嶺です。

はじめに

Sonatypeが観測した最新キャンペーン「Shai‑Hulud」は、npmのメンテイナーアカウント乗っ取りを起点に、Ant Design（AntV）エコシステムのパッケージ配布経路に悪意のコードを忍ばせたと報告しています。これにより、開発端末やCI/CD環境の環境変数・トークンが窃取されるリスクが高まりました。信頼された名前空間の下で“普通の更新”に見せかけて配布されるため、ダウンロード数やスター数といった従来の信頼シグナルは役に立ちません。供給側の同意を得た配布であるがゆえにスキャナの検出回避や組織内の審査もすり抜けやすく、サプライチェーンの前線がまた一歩、私たちの中へと押し寄せている実感がします。

出回っているスコア群が示すのは、目新しさより“実行可能性と即応性の高さ”です。つまり、テクニック自体は目新しくなくても、踏み固められた開発・CIの慣行にぴたりと刺さるため、今この瞬間に現場の手元で被害の規模が確実に乗る、ということです。今回は、攻撃の骨格を事実で押さえつつ、CISO・SOC・脅威インテリジェンスの視点で、どこから手を付ければ「刺さらない体」に変えられるかを深堀ります。

深掘り詳細

事実整理：何が起き、どこが痛むのか

Sonatypeは、Shai‑Huludに紐づく継続的なサプライチェーン攻撃を確認したと報告しています。攻撃者はnpmのメンテイナーアカウントを侵害し、AntV系を含む信頼されたパッケージ名の下で悪意のコードを配布しました。目的は開発端末やCI/CDの環境変数・資格情報の窃取です。結果として、「正規の更新」が攻撃流通に化け、従来の信頼指標が無効化されました。Sonatypeの分析が一次情報です。
npmのライフサイクルスクリプト（preinstall/postinstall等）や依存解決の副作用を用いると、パッケージ導入だけで自動実行が可能です。CI/CDは自動で最新パッチを取り込みやすく、環境変数（NPM_TOKEN、VCSトークン、クラウド認証情報など）をその場で奪われると、組織内外への横展開の起点になり得ます。
攻撃者は“人気”“実績”“正規アカウント”といった「安心材料」を逆用します。結果として、CDN/レジストリから社内レジストリを経てビルド環境まで、広い接面で静かに拡散します。

出典：Sonatypeの一次報告に基づく要約です（上記リンク）。

インサイト：信頼連鎖の「弱い輪」はどこか

メンテイナーは実質“発行者PKI”です。個々のアカウントが署名鍵と等価の役割を持ち、そこが破られた瞬間に、名実ともに正規更新として悪性コードが流通します。つまり境界は「レジストリ」ではなく「人」にあります。
依存固定（lockfile）は初動緩和には効きますが、更新の意思決定に人が絡まないCI（自動マージ・定期更新ジョブ）では脆いです。鍵は「誰が、いつ、なぜ、その更新を入れたか」を運用として可視化・制御できているかどうかです。
現場の落とし穴は3つあります。
1. CIに長寿命トークンを入れっぱなしにする文化。奪取されると“攻撃の再生産装置”になります。
2. インストール時スクリプトのフリーラン。便利さの裏で、最短の実行踏み台を与えています。
3. レジストリからの直接取得に過度に依存。社内ミラーの検疫・遅延反映がないと、脈絡なく“最新悪性”が入ってきます。
逆に言えば、発行者の証跡（provenance）の検証、ネットワーク分離、スクリプト実行のデフォルト拒否、短命トークンへの一斉切替という“数少ないネジ”を締めるだけで、攻撃者の費用対効果は大幅に崩せます。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説シナリオです（各技術は編集部によるマッピング仮説です）。

初期侵入
- Supply Chain Compromise（T1195、特に依存や開発ツールの侵害に相当）を通じ、正規パッケージの更新に悪性コードを混入します。
- 開発者やCIは通常運用で更新を取り込みます（User Execution/T1204相当の自動化版と見なせます）。
実行
- npmのpostinstall等でJavaScriptを自動実行（Command and Scripting Interpreter: JavaScript/T1059.007）。
- ネイティブバイナリやPowerShell等を呼び出す場合もあり得ます（T1059の他サブテクニック）。
資格情報アクセス
- 環境変数や設定ファイルからトークンを収集（Unsecured Credentials/T1552）。NPM_TOKEN、VCSアクセストークン、クラウドの短長寿命クレデンシャルが標的です。
発見
- CI環境のメタデータ、ビルド設定、ネットワーク到達性を探索（Discovery系、例：System Information Discovery/T1082、Query Registry/T1012に類する行為）。
防御回避
- 難読化や合意形成済みの正規更新に偽装（Obfuscated/Compressed Files & Information/T1027、Masquerading/T1036）。
盗み出し
- HTTP/HTTPSで外部C2やWebサービスへ送信（Exfiltration Over C2 Channel/T1041、またはExfiltration Over Web Service/T1567）。
横展開と再生産
- 奪取トークンで内部/外部パッケージに悪性更新を発行、あるいはソースリポジトリに不正PR作成、CIシークレット参照権限の拡大（Valid Accounts/T1078、レジストリ発行権限の乱用）。

ビジネス影響としては、(1) 社内レジストリやプロダクトのビルドチェーンに汚染が波及する二次被害、(2) 顧客への下流供給物に対するトラスト毀損、(3) アカウント・鍵の一斉ローテーションに伴う操業中断コスト、が重くのしかかります。今回のスコア群が示唆する“即応を要する高い実行可能性”は、まさにこの二次・三次被害の増殖速度を指しています。速度に勝つ設計変更が、生存戦略になります。

セキュリティ担当者のアクション

“いますぐ”と“30日で変える”を分けて提案します。負担の大きい投資より、攻撃者の収益モデルを壊すネジ締めを優先します。

0〜24時間：出血を止める
- 依存更新の一時凍結。CIの自動依存アップデート（Botの自動マージ等）を停止します。
- npmインストール時のスクリプト実行をデフォルト拒否に切替（例：CIで npm ci または npm install に --ignore-scripts を付与）。どうしても必要なものは明示的に通します。
- ビルド段階のネットワーク分離。依存解決フェーズの外向き通信をレジストリと社内ミラー以外に遮断します（DNS/HTTPの宛先制限）。
- NPM_TOKENやVCSトークンの緊急ローテーション。特にCIに置かれた長寿命・広権限のトークンを洗い出して失効します。
- 社内ミラー（プロキシレジストリ）での新規パッケージ版の検疫導入。既知の安全版のみ公開し、最新は隔離します。
24〜72時間：影響範囲の特定と恒久措置の設計
- ここ7〜14日で更新した依存の差分監査。メンテイナー変更・ライフサイクルスクリプト追加・不審な難読化コードの混入有無をレビューします。
- CIログで「npm install/ci 実行時の外向き通信」を逆引き。見慣れないドメイン/パスへのPOSTを抽出します。
- 依存更新に「2人承認＋自動テスト合格＋オフラインビルド再現」を必須化するワークフローを定義します。
30日以内：攻撃の費用対効果を根本から崩す
- 署名付き公開（provenance）の検証をパイプラインに組み込みます。レジストリが示す発行者証跡とCIのOIDCベース署名を検査し、発行主体のなりすましを弾きます。
- トークン戦略の刷新。長寿命シークレットからOIDC連携の短命・スコープ最小トークンに全面移行します。環境変数注入は必要ステップの直前に限定します。
- 依存のリスクゲーティングを定義。メンテイナー変更、ライフサイクルスクリプト追加、minified/難読化率の急上昇、バージョンの突発的な多発リリースなどを“赤信号”として自動停止します。
- 社内レジストリ/ミラーを“安全弁”に昇格。外部からの新規バージョンは即時通さず、時間遅延とスキャン、サンドボックス実行（スクリプト有効）を経て公開します。
- 「人の責務」を運用に落とす。依存更新の自動マージを全面的にやめる必要はありませんが、“条件付き自動マージ（影響小・発行者実証済・スクリプトなし）”と“人の目マージ”を切り分けます。
継続的な監視とメトリクス（現場で効く指標）
- ライフサイクルスクリプト比率（全依存中、scriptを持つ割合）と、そのうち許可リスト外の比率。
- 依存更新の「人の目経由率」と「承認から本番反映までの遅延」。速すぎても遅すぎても危険です。
- メンテイナー変更検知からブロック発動までの平均時間。
- CIの外向き通信の宛先ユニーク数（インストール工程中）。“増えたら止める”を自動化します。

最後に。今回の事案は、地理や言語の境界をまたぐOSS協業の良さと弱さを同時に突いてきました。だからといって閉じるのではなく、信頼の担保方法を“人”だけに背負わせない設計に変えていくことが大切です。発行者証跡の検証、ネットワーク分離、短命クレデンシャル、そして“よく更新されること自体は善である”という前提を崩さない審査運用。これらは、開発速度を落とさず、むしろ安心して踏めるアクセルを増やすための投資です。

参考情報

Sonatype: Shai-Hulud is back: Maintainers the target（一次報告） https://www.sonatype.com/blog/shai-hulud-is-back-maintainers-the-target

注記：MITRE ATT&CKのテクニック対応は、公開情報と一般的なサプライチェーン攻撃手法に基づく編集部の仮説です。個別インシデントでの正確な適用はフォレンジック結果に従います。

背景情報

i Shai-Huludは、npmエコシステムにおける攻撃手法の一つで、メンテイナーアカウントを侵害し、正規のパッケージ名の下で悪意のあるコードを公開します。この手法は、従来の信頼シグナルを無効化し、開発者が無防備な状態で悪意のあるコードをインストールすることを可能にします。
i 攻撃者は、CI/CDシステムや開発者の環境変数を狙い、機密情報を盗むことを目的としています。これにより、攻撃者はさらに多くのメンテイナーアカウントを侵害し、攻撃を拡大することができます。

メトリクス