B
今週中
NPMおよびPyPIエコシステムにおいて、100以上のパッケージが「Shai-Hulud」と呼ばれる自己複製型ワームによるサプライチェーン攻撃を受けたこと
📌 一言でいうと
NPMおよびPyPIエコシステムにおいて、100以上のパッケージが「Shai-Hulud」と呼ばれる自己複製型ワームによるサプライチェーン攻撃を受けたことが判明しました。攻撃グループTeamPCPが公開したソースコードを基に、Miasmaなどの新バリアントが出現しており、Red HatのHybrid Cloud Console関連パッケージなども侵害されています。攻撃者はbinding.gypファイルなどを悪用して検知を回避し、悪意のあるコードを実行させます。
🔍該当判定
- JavaScript(Node.js)の開発で、NPMから外部パッケージをインストールして利用している
- Pythonの開発で、PyPI(pip)から外部ライブラリをインストールして利用している
- Red HatのHybrid Cloud Consoleに関連するJavaScriptエコシステムを利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
利用している依存パッケージの整合性を確認し、不審なパッケージやバージョン更新がないか監査すること。また、SCA(ソフトウェア構成分析)ツールを導入し、既知の悪意あるパッケージを検知・排除することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】NPM/PyPIにおけるサプライチェーン攻撃(Shai-Hulud/Miasma)について
お疲れさまです。オープンソースパッケージ管理システムにおける広範な攻撃に関する情報共有です。
■ 概要
攻撃グループTeamPCPによる自己複製型ワーム「Shai-Hulud」およびその派生型「Miasma」が、NPMおよびPyPIの100以上のパッケージを侵害しています。binding.gypファイルなどを悪用してpostinstallロジックを回避し、悪意のあるコードを実行させる手法が確認されています。
■ 影響範囲
- NPMおよびPyPIエコシステムのパッケージ
- Red Hat Hybrid Cloud Console JavaScriptエコシステム(32パッケージが侵害済み)
■ 対応手順
1. プロジェクトで使用している依存関係(package-lock.json, requirements.txt等)に不審なパッケージが含まれていないか確認してください。
2. TrivyやSnykなどのSCAツールを用いて、既知の悪意あるパッケージの混入をスキャンしてください。
3. 開発環境におけるパッケージインストール権限の制限および監視を強化してください。
■ 参考情報
- SecurityWeek 記事
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。オープンソースパッケージ管理システムにおける広範な攻撃に関する情報共有です。
■ 概要
攻撃グループTeamPCPによる自己複製型ワーム「Shai-Hulud」およびその派生型「Miasma」が、NPMおよびPyPIの100以上のパッケージを侵害しています。binding.gypファイルなどを悪用してpostinstallロジックを回避し、悪意のあるコードを実行させる手法が確認されています。
■ 影響範囲
- NPMおよびPyPIエコシステムのパッケージ
- Red Hat Hybrid Cloud Console JavaScriptエコシステム(32パッケージが侵害済み)
■ 対応手順
1. プロジェクトで使用している依存関係(package-lock.json, requirements.txt等)に不審なパッケージが含まれていないか確認してください。
2. TrivyやSnykなどのSCAツールを用いて、既知の悪意あるパッケージの混入をスキャンしてください。
3. 開発環境におけるパッケージインストール権限の制限および監視を強化してください。
■ 参考情報
- SecurityWeek 記事
対応優先度: 高
対応期限: 速やかに確認
Subject: [Alert] Supply Chain Attacks on NPM/PyPI (Shai-Hulud/Miasma)
Dear Team,
We are sharing information regarding a widespread supply chain attack targeting open-source package ecosystems.
■ Overview
A self-replicating worm known as "Shai-Hulud" and its variant "Miasma," attributed to the threat actor TeamPCP, have compromised over 100 packages across NPM and PyPI. The attacks utilize weaponized files (e.g., binding.gyp) to bypass standard execution logic and deploy malicious payloads.
■ Scope
- NPM and PyPI ecosystem packages
- Red Hat Hybrid Cloud Console JavaScript ecosystem (32 packages confirmed infected)
■ Recommended Actions
1. Audit project dependency files (e.g., package-lock.json, requirements.txt) for unauthorized or suspicious packages.
2. Run SCA (Software Composition Analysis) scans using tools like Trivy or Snyk to detect known malicious packages.
3. Enhance monitoring and restrict permissions for package installations in development environments.
■ Reference
- SecurityWeek Article
Priority: High
Deadline: Immediate review
Dear Team,
We are sharing information regarding a widespread supply chain attack targeting open-source package ecosystems.
■ Overview
A self-replicating worm known as "Shai-Hulud" and its variant "Miasma," attributed to the threat actor TeamPCP, have compromised over 100 packages across NPM and PyPI. The attacks utilize weaponized files (e.g., binding.gyp) to bypass standard execution logic and deploy malicious payloads.
■ Scope
- NPM and PyPI ecosystem packages
- Red Hat Hybrid Cloud Console JavaScript ecosystem (32 packages confirmed infected)
■ Recommended Actions
1. Audit project dependency files (e.g., package-lock.json, requirements.txt) for unauthorized or suspicious packages.
2. Run SCA (Software Composition Analysis) scans using tools like Trivy or Snyk to detect known malicious packages.
3. Enhance monitoring and restrict permissions for package installations in development environments.
■ Reference
- SecurityWeek Article
Priority: High
Deadline: Immediate review