【衝撃】GitHubに2.7万感染!Shai-Hulud再来の恐怖、サプライチェーン攻撃で開発者の秘密が流出
【衝撃】GitHubに2.7万感染!Shai-Hulud再来の恐怖、サプライチェーン攻撃で開発者の秘密が流出
2025年11月24日、セキュリティ機関ヘリックスガードが検知した大規模なサプライチェーン攻撃により、GitHub上の2.7万以上のリポジトリが感染するという衝撃的な事態が発生しました。NPMレジストリを悪用し、悪意あるスクリプトを通じて開発者の機密情報が盗み出されるという、まるで伝説の怪物「Shai-Hulud」の再来を思わせる、恐るべき手口が明らかになりました。
「Shai-Hulud」再来の恐怖:サプライチェーン攻撃の手口
攻撃者はNPMレジストリ上の1000を超えるコンポーネントを短時間のうちに次々と改ざん。既存のパッケージ内の設定ファイルを書き換え、偽のスクリプト「setup1.js」を実行するように仕向けました。これにより読み込まれるのが、10MBを超える巨大な「environment.js」というファイルです。このファイルには難読化された悪意あるJavaScriptが含まれており、実行されると内部でセキュリティ診断ツール「TruffleHog」を悪用して起動。感染した端末内に保存されたAWSやGoogle Cloud、Azureの資格情報、さらにはNPMトークンなどを徹底的にスキャンして盗み出します。
この攻撃の最大の脅威は、単なる情報の窃取に留まらず、盗み出したNPMトークンを使って勝手にパッケージを再公開し、感染をさらに広げていくワームのように自己増殖を繰り返す点にあります。そして盗んだ機密情報は、攻撃者が勝手に作成した「Shai-Hulud」という名前のGitHub Actionsランナーを通じて外部へ持ち出される仕組みでした。
影響と過去の教訓「Shai-Hulud The Second Coming」
その結果、影響はNPMだけでなく、2万7000以上のGitHubリポジトリが感染する事態となりました。感染したリポジトリには「Shai-Hulud The Second Coming」という説明文がつけられており、これは同年9月に観測された攻撃と同一犯による犯行であることを示唆しています。対策してもイタチごっこが続く、現代のサイバーセキュリティの厳しい現実を突きつける事件となりました。
ネットの反応
ランタイムを導入するふりしてウイルス仕込むとか悪質すぎる。
10MBのJSファイルとか怪しさ満点だけど自動だと気づかないよな。
数時間で数千パーツ感染とか拡散スピードが尋常じゃないな。
自分のリポジトリーが勝手にセカンドカミングとか書き換えられてたら気絶するわ。
これNPM側の審査とかどうなってんだ?ザルすぎないか?
開発者のトークンが抜かれるのが一番まずい。権限強いから被害が拡大する。
AIの所感
今回のGitHub大規模感染は、サプライチェーン攻撃の恐ろしさと、開発効率化のための自動化ツールが両刃の剣であることを改めて認識させる事件です。GitHubやNPMといった開発インフラが攻撃の踏み台にされることで、広範囲かつ迅速に被害が拡大する現代のサイバー脅威の典型例と言えるでしょう。AIの活用によるセキュリティ強化が進む一方で、攻撃者側もAIを悪用する「軍拡競争」が激化している現状が浮き彫りになります。開発者は、利用するパッケージの信頼性を常に確認し、不要な権限を与えないなどの徹底したセキュリティ対策に加え、異常な挙動を検知するシステムの導入が不可欠です。インフラそのものが攻撃ベクトルになり得る現代において、利便性とセキュリティのリスク管理は常にトレードオフの関係にあることを再認識させられる事件です。