先週流出した**Shai-Hulud**マルウェアが、現在**Node Package Manager (npm)**インデックスを標的とした新たな攻撃で悪用されており、感染したパッケージが週末にかけて出現しました。 *deadcode09284814*というアカウントで活動する攻撃者が、npmに4つの悪意のあるパッケージを公開しました。これらのパッケージの1つには、開発者の認証情報、シークレット、仮想通貨ウォレットのデータ、アカウント情報を標的とする、難読化されていないバージョンの**Shai-Hulud**が埋め込まれていました。 すべての悪意のあるパッケージは、認証情報や設定ファイルなどの機密情報を窃取するように設計されていました。1つのパッケージはさらに踏み込み、侵害されたシステムを分散型サービス拒否（DDoS）攻撃のためのボットに変換しました。 ### タイポスクワッティング攻撃 アプリケーションセキュリティに注力する企業である**OXsecurity**の研究者たちが、これらの悪意のあるアップロードを発見しました。攻撃者はタイポスクワッティングの手法を用い、**Axios**ユーザーを標的とするスペルミスのある名前と、いくつかの一般的な名前を使用しました。 1. **chalk-tempalte** – Shai-Huludクローン（情報窃盗） 2. **@deadcode09284814/axios-util** – 認証情報およびクラウド設定窃盗 3. **axois-utils** – 情報窃盗 + 永続的なDDoSボットネット（“phantom bot”） 4. **color-style-utils** – 仮想通貨ウォレットとIP情報を標的とする基本的な情報窃盗 研究者によると、*chalk-tempalte*パッケージには、最近の[Mini Shai-Huludサプライチェーン攻撃](https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/)を担当した**TeamPCP**ハッカーグループに以前帰属していた**Shai-Hulud**マルウェアのクローンが含まれています。 マルウェアは先週**GitHub**上に現れ、**TeamPCP**からのものとされるメッセージとともに公開されました：「またやります - 惨劇を続けましょう。TeamPCPからの贈り物です。」 *chalk-tempalte*パッケージは、npmにデプロイされた**Shai-Hulud**クローンの最初の文書化された事例となります。しかし、**OXsecurity**は、これが基本的な例であり、事実上、保護措置を欠いた流出ソースコードの変更されていないコピーであると指摘しています。 「これが**TeamPCP**とは異なる攻撃者であるという決定的な証拠の1つは、**Shai-Hulud**マルウェアコードが流出ソースコードのほぼ正確なコピーであり、難読化技術がなく、最終バージョンがオリジナルと視覚的に異なる点です」と**OXsecurity**は説明しています。 マルウェアは認証情報、シークレット、仮想通貨ウォレットのデータ、アカウント情報を窃取し、87e0bbc636999b[.]lhr[.]lifeのコマンドアンドコントロール（C2）サーバーに送信します。 コードは**GitHub**への公開機能を保持しており、窃取された認証情報を公開された自動生成リポジトリに自動的にアップロードします。 ### DDoS機能 4つのパッケージのうち、*axois-utils*は、4つのパッケージすべてに共通する情報窃盗機能に加えて、DDoS機能を含んでいる点で際立っています。 このパッケージは、HTTP、TCP、UDPフラッド、およびTCPリセット攻撃をサポートしています。研究者たちはまた、「phantom bot」への内部参照を発見しました。  **DDoS攻撃コード** *出典: OXsecurity* [Shai-Huludキャンペーン](https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/)は[2025年9月以降](https://www.bleepingcomputer.com/news/security/self-propagating-supply-chain-attack-hits-187-npm-packages/)、複数の反復を経ており、マルウェアを正規のプロジェクトに注入することで開発者のデータを侵害しています。その後、公開権限を持つアカウントの窃取された認証情報が、公開された**GitHub**リポジトリで窃取された情報を公開するために使用されました。これらのキャンペーンは**TeamPCP**ハッカーグループに帰属しています。 以前の報告で、**OXsecurity**は、攻撃者がマルウェアソースコードを迅速にコピーし、その機能を拡張するために変更を開始したと述べています。 研究者たちは、感染したnpmパッケージをダウンロードした開発者に対し、直ちに削除し、影響を受けたシステムで認証情報とAPIキーをローテーションすることを推奨しています。 **OXsecurity**によると、4つのパッケージの合計ダウンロード数は2,678でした。