最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- Mini Shai-Huludワームは、5月19日に乗っ取られた「atool」アカウントを通じて323個のnpmパッケージを侵害し、639個の悪意のあるバージョンを公開した。.
- 影響を受けるパッケージには、echarts-for-react(週間ダウンロード数110万)、size-sensor(420万)、およびアリババのデータ可視化エコシステム全体(@antv)が含まれます。.
- この大規模なキャンペーンは現在、npm、PyPI、Composerの各レジストリにわたる502のパッケージで、1,055バージョンに達している。.
5月19日、Mini Shai-Huludワームがnpmのメンテナーアカウント1つを侵害し、30分足らずで323個のパッケージに639個の悪意のあるバージョンを拡散させた。.
侵害されたアカウント「atool」([email protected]で使用されるスタンドアロンライブラリを公開しています DeFi フロントエンド、フィンテックアプリケーション
トラフィックが最も多いターゲットは、size-sensor(週間ダウンロード数420万)、echarts-for-react(110万)、@antv/scale(220万)、timeago.js(115万)です。.
のようなセマンティックバージョニング範囲を使用しているプロジェクトは、 ^3.0.6 次回のクリーンインストール時に悪意のあるバージョン 3.2.7 に自動的に解決されてしまいました。メンテナーは 1 時間以内に GitHub のセキュリティ警告をクローズし、それらをクローズされたイシューの中に埋もれさせてしまいました。
ペイロードが盗み出すものと、それがどのように存続するか
dentによると、このマルウェアは、EC2とECSメタデータを介したAWSキー、Google CloudとAzureトークン、GitHubとnpmトークン、SSHキー、Kubernetesサービスアカウント、HashiCorp Vaultシークレット、Stripe APIキー、データベース接続文字列、1PasswordとBitwardenのローカルパスワード保管庫など、20種類以上の認証情報を収集します。.
情報漏洩は2つの経路で行われる。盗まれたdent情報はAES-256-GCMで暗号化され、コマンド&コントロールサーバーに送信される。.
代替手段として、このワームは侵害されたGitHubトークンを使用して、sardaukar-melange-742やfremen-sandworm-315といったデューンをテーマにした名前の公開リポジトリを作成し、盗んだデータをファイルとしてコミットします。StepSecurityは、既に2,500以上のGitHubリポジトリにこのキャンペーンに関連する指標が含まれていると報告しています。.
さらに、このワームはHTTPS経由で転送されるOpenTelemetry trac内の盗まれたデータに暗号化を使用します。Linuxベースのマシンでは、パッケージが削除された後でもGitHubから命令を取得できるsystemdユーザーサービスを設定します。.
このワームは、開発環境での再アクティベーションを確実にするために、.vscodeおよび.claude構成ファイルを改変します。.
キャンペーンは拡大し続けている
これは第3波です。Cryptopolitan ように Cryptopolitan 報じた 、最初のShai-Hulud亜種はTrust Walletのnpmパッケージを攻撃し、850万ドルの損失をもたらしました。第2波は5月11日にMistral AI、TanStack、UiPath、Guardrails AIを襲いました。
Socketは、npm、PyPI、およびComposerを通じて、502の異なるパッケージ内で合計1,055の侵害されたバージョンdentことができました。.
Datadogの研究者によると、この攻撃キャンペーンの背後にいる脅威グループであるTeamPCPは、アンダーグラウンドのハッキングフォーラムでそのツールを宣伝している。異なるコマンド&コントロールサーバーを使用する模倣版も出現しており、犯人の特定は困難になっている。.
SlowMistのCEOである23pds氏は、影響を受けるバージョンをインストールした環境はすべて、完全に侵害されているものとして扱うべきだと述べた。.
推奨される対策としては、すべてのアクセストークンの取り消し、AWS、GitHub、npm、およびクラウドプロバイダーのdent情報のローテーション、アカウント公開時の多要素認証の実装、リポジトリ内の不審なアクティビティの調査などが挙げられます。.
最も賢い暗号通貨マインドを持つ人々はすでに私たちのニュースレターを読んでいます。参加してみませんか?ぜひ ご参加ください。
よくある質問
ミニ・シャイ・フルードとは何ですか?
Mini Shai-Huludは、TeamPCPと呼ばれる金銭目的のグループによる自己複製型のマルウェアキャンペーンであり、侵害されたnpmパッケージを介して拡散し、開発者のdent情報を盗み、正規のメンテナーのdentを装ってさらに悪意のあるパッケージバージョンを公開します。.
どのnpmパッケージが影響を受けましたか?
SafeDepとSocketの調査によると、5月19日の攻撃では、npmアカウント「atool」に関連付けられた323のパッケージと639のバージョンが侵害され、その中にはecharts-for-react(週あたり約110万ダウンロード)、Alibabaのデータ可視化スイート@antv、timeago.js、size-sensorなどが含まれていた。.
影響を受けるパッケージをインストールしてしまった開発者は、どうすればよいのでしょうか?
セキュリティ研究者は、マシンまたは CI ランナーが完全に侵害されたものとして扱うことを推奨しています。すべてのdent情報 (AWS、GitHub、npm、SSH、データベース) をローテーションし、二要素認証を有効にし、キャンペーンの命名パターンに一致する不正なリポジトリがないか GitHub を監査し、`.vscode/tasks.json` や `.claude/settings.json` などの開発者ツール構成ファイルから永続的なバックドアを削除します。.
免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を
マイカ・アビオドゥン
ミカ・アビオドゥンは、タリン工科大学(TalTech)で取得した環境工学・経営学修士号(MSc)を活かし、 Cryptopolitanでコンテンツや価格予測ニュースを磨き上げています。暗号通貨メディア業界で7年目を迎える彼は、主要な暗号通貨、アルトコイン、 DeFi、ステーブルコイン、マクロトレンド、そして新興テクノロジーを幅広くカバーしています。
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)