Author

technews

世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

Shai-Hulud攻撃でTanStackやMistralのnpm/PyPIパッケージが汚染された話をわかりやすく解説

まず押さえたいポイント

• npm と PyPI の数百件のパッケージが、Shai-Hulud系のサプライチェーン攻撃で侵害された
• 攻撃者は正規のCI/CDやOIDCトークンを悪用し、​見た目が本物のまま悪意あるパッケージを公開した
• TanStack、Mistral AI、Guardrails AI、UiPath、OpenSearch など、人気プロジェクトに波及した
• 盗まれたのは GitHub、npm、AWS、Kubernetes、Vault などの開発者向け認証情報
• 一度入ると、Claude Code hooks や VS Code の自動実行タスクに自分を残すので、削除だけでは不十分
• 開発者は該当バージョンを使った前提で認証情報の全ローテーションを考えるべき

何が起きたのか

今回の話は、ひとことで言うと「信頼して入れたライブラリが、じつは泥棒だった」というやつです。
BleepingComputerによると、npm と PyPI にある何百ものパッケージが、新しい Shai-Hulud サプライチェーン攻撃で汚染されました。

サプライチェーン攻撃というのは、完成品そのものを狙うのではなく、​製品ができるまでの途中の部品や流通経路を汚す攻撃です。
ソフトウェアでいえば、よく使うライブラリや配布経路を狙うわけで、これが本当に厄介。なぜなら、開発者は普通、公式っぽい場所から落としているつもりなので、​気づきにくいからです。

しかも今回は、攻撃者が正規のOpenID Connect (OIDC) トークンを盗み、さらにSLSA Build Level 3 のような検証可能な provenance attestation（「このパッケージはこの手順でビルドされた」と示す証明）まで付いた状態で悪意あるバージョンを公開したのがポイントです。
これ、かなりイヤらしいです。見た目の「証明」があるので、普通のチェックだと弾きづらい。​**“署名されているから安全” が通じない**場面がある、というのはかなり重要な教訓だと思います。

どう広がったのか

元々の標的は TanStack と Mistral AI のパッケージ群でした。
そこから stolen credentials（盗んだ認証情報）を使って、​Guardrails AI、UiPath、OpenSearch のような別プロジェクトにも広がっていったとのことです。

各社・各研究者の報告では、侵害されたものは少なくともかなり大規模で、

• Endor Labs: npm上で160超
• Aikido: 373件の malicious package-version entries
• Socket: npm と PyPI 合わせて416件の compromised artifacts

とされています。
数字は集計方法で少し変わりますが、少なくとも「単発事故ではなく、かなり広い範囲に波及した」のは間違いなさそうです。

何がそんなに巧妙なのか

今回の攻撃が面白い、というと不謹慎に聞こえるかもしれませんが、セキュリティの世界では「やり口が巧妙すぎる」という意味で注目に値します。

TanStack側の報告では、攻撃者は次の3つを組み合わせたとされています。

1. 危険な pull_request-target ワークフロー
2. GitHub Actions の cache poisoning
3. runner memory からの OIDC token theft

ざっくり言うと、

• pull_request-target は、外部からのPRに対して強い権限を持つ設定になりやすく、扱いを誤ると危険
• cache poisoning は、CIのキャッシュに悪意あるデータを混ぜる手口
• runner memory からの token theft は、CI実行中のメモリから秘密情報を抜くやり方

です。

個人的には、ここが一番ゾッとします。
「パッケージが悪い」のではなく、​ビルド・配布・署名・CIのつながり全部を利用してくるので、どこか1点だけ見ていても防ぎにくい。まさに現代のサプライチェーン攻撃らしい、嫌な完成度です。

どうやって“本物っぽく”見せたのか

攻撃者は、正規のCI/CDパイプラインを通して感染したパッケージを公開しました。
つまり、外から見ると「ちゃんとしたリリース手順で出た」ように見えるわけです。

しかも、TanStack/router の正式な Release workflow に紐づく形で、​valid SLSA provenance や Sigstore attestations、​GitHub Actions signatures まで付いていたとされています。

普通、開発者は「署名あり＝安心」と思いたくなります。私もそう思いたい。
でも今回のように、​署名そのものが本物でも中身が悪いということが起きる。ここはかなり重要です。
つまり、今後は「署名の有無」だけではなく、​振る舞いの検査まで見ないといけない、という話になります。

どんな攻撃だったのか

Endor Labsによると、攻撃者は TanStack/router リポジトリに対して、​fork に push された orphaned commit を悪用したそうです。
オーファンコミットというのは、ざっくり言えばどのブランチにもぶら下がっていない孤立したコミットです。普通の開発フローではあまり意識しない場所ですが、GitHubのshared fork object storageを通じてアクセス可能だった、というのがポイント。

そしてそのコミットを、​悪意ある optional dependency として参照させ、npm のインストール時に自動で攻撃者コードを取得・実行させた、とされています。
ここもなかなか賢いです。依存関係の仕組みを逆手に取って、​インストールしただけで勝手に実行させる。ライブラリ管理の怖さがよく出ています。

何を盗むマルウェアだったのか

このマルウェアは、開発者が持っている“宝の山”を狙います。具体的には、

• GitHub Actions の OIDC tokens と PATs
• Git credentials
• npm publish tokens
• AWS Secrets Manager、IAM、ESC task credentials
• Kubernetes service account tokens と cluster credentials
• HashiCorp Vault tokens
• SSH keys
• Claude Code configs
• VS Code tasks
• .env files

などです。

さらに StepSecurity によると、GitHub Actions のプロセスメモリを読んで、​クラウド、暗号資産、メッセージングアプリに関連する100以上のパスから認証情報を集めていたとのこと。
要するに「開発用の秘密情報、片っ端から持っていく」タイプです。

開発者のマシンやCI環境には、思った以上にいろんな秘密が詰まっています。
個人的には、ここで「自分のPCは大丈夫」と油断するのが一番危ないと思います。開発機はしばしば、​本番に入れるカギの束みたいなものですから。

盗んだ情報をどう外へ出したのか

情報の送信先として、マルウェアは Session P2P network を使っていたとされています。
これは通信を暗号化されたメッセンジャーのように見せかけることができるため、検知やブロック、停止が難しくなります。

この手口は地味に悪質です。
普通のC2（command-and-control、攻撃者がマルウェアを遠隔操作するための通信基盤）なら、ドメインやIPを止めれば良いこともあります。
でもP2P寄りの仕組みだと、​1箇所を潰して終わりにしにくい。しぶといです。

消しても終わりではない

感染すると、マルウェアは Claude Code hooks や VS Code の auto-run tasks に自分を仕込みます。
つまり、悪意あるパッケージを削除しても、​別の場所に残って再発する可能性があるわけです。

これは実運用だとかなり面倒です。
「npm uninstall したからOKでしょ」とはならない。IDEや作業用ディレクトリ、設定ファイルまで見ないといけない。
セキュリティ対応が“パッケージ削除”で終わらないのが、本当に嫌なところです。

Mistral AIのPyPI版では何が起きたのか

Microsoft Threat Intelligence は、PyPI 上の悪意ある Mistral AI パッケージから落とされる payload も分析しています。
そこで使われていた名前は transformers.pyz で、これは Hugging Face の有名な Python ライブラリ Transformers を装っている可能性があるとされています。

Linux上では、情報窃取マルウェアとして動作します。
さらに、​ロシア語設定のホストでは実行を避けるという geofencing も入っていたそうです。
こういう「特定地域を避ける」ロジックは、攻撃者が逮捕リスクや監視を意識していることを示唆することが多く、地味に重要なサインです。

加えて、​破壊的な二次ルーチンもあり、イスラエルかイラン由来に見える環境では、​6分の1の確率で rm -rf/ のような再帰削除を実行する可能性があるとのこと。
rm -rf/ は、簡単に言うとシステムを根こそぎ消し飛ばす危険な削除コマンドです。
ここまで来ると、単なる窃盗ではなく、​破壊も視野に入れた攻撃だと見たほうがよさそうです。

この挙動は、TeamPCP が3月に行った CanisterWorm キャンペーンと似ているとも報告されています。Kubernetesプラットフォームを狙い、特定のタイムゾーンやロケールに合うマシンを消していた、という話です。
要するに、同じ系統の攻撃グループが、​窃取と破壊を組み合わせた手口を使っている可能性がある、ということです。

もし影響を受けたら、何をすべきか

研究者らは、影響を受けたパッケージを入れた可能性があるなら、​認証情報は漏れた前提で動くべきだとしています。これはかなり重要です。
“たぶん大丈夫” は通用しないと思ったほうがいいです。

推奨されている対策は以下です。

• 影響のある package version を確認する
• 開発者マシンに persistence が残っていないか確認する
• すべての認証情報をローテーションする
  • GitHub tokens
  • npm tokens
  • AWS credentials
  • Vault
  • Kubernetes service accounts
  • CI/CD secrets
• IDEディレクトリを監査する
  • 例: router_runtime.js や setup.mjs のような残存ファイル
• C2インフラをDNSやproxyでブロックする
  • api.masscan.cloud
  • git-tanstack.com
  • *.getsession.org

正直、ここまでやって初めて「ちゃんと対処した」と言えるレベルです。
とくにトークン類のローテーションは面倒ですが、漏えいした可能性があるなら避けて通れません。

今後の教訓

Snyk の研究者は、今回のように悪意あるパッケージでも有効な SLSA Build Level 3 attestation が付いてしまう以上、署名確認だけでは不十分だと指摘しています。
必要なのは、

• provenance の検証
• install時の行動分析
• シグネチャベースの悪性判定

の組み合わせだ、というわけです。

長期的には、​lockfile-only installs を強制するのも有効だとされています。
これは、勝手に新しいバージョンを拾うのではなく、​lockfile に固定されたものだけ入れる運用です。
地味ですが、こういう“静かな変更”を減らすのはかなり効くと思います。

まとめ

今回の事件は、単に「npmの悪いパッケージが出回った」という話ではありません。
正規のCI/CD、正規の署名、正規の依存関係の仕組みまで使って、開発者の信頼そのものを悪用した攻撃です。

しかも狙いは、ソースコードそのものよりも、そこに紐づく秘密情報。
現代の開発では、コードよりも認証情報のほうが価値を持つ場面が多いので、攻撃者から見ればかなりおいしいターゲットです。

個人的には、今回の件は「オープンソースが危ない」で終わらせるより、​**“信頼の仕組みをどう再設計するか”** を考える材料だと思います。
署名があるから安心、インストールしただけなら安全、という時代はもう終わりかもしれません。

参考: Shai Hulud attack ships signed malicious TanStack, Mistral npm packages

同じ著者の記事

US Bank、共有ファイル経由のセキュリティ不備を公表――「うっかり共有」が招く情報管理の怖さ

US Bankが、セキュリティ上の不備（security lapse）を公表した。 きっかけは、ファイルの共有をめぐるミスだったとされる。 こうした事故は、攻撃そのものよりも設定ミスや運用ミスで起きることが多い。 大きな銀行ほどセキュリティが強そうに見えるが、実際には人間のミスが一番の弱点になりやすい。 今回の件は、「技術が安全でも、運用が甘いと意味がない」という、かなり地味だけど重要な教訓を示している。 今回話題になったのは、US Bankがセキュリティ上の不備を明らかにしたというニュースです。元記事のタイトルだけを見るとかなりぼんやりしていますが、要するに「ファイル共有の扱いを誤ったことで、情報管理に問題が起きた」という話です。 ここでまず大事なのは、こうした事件は映画みたいなハッキングだけで起きるわけではない、ということです。むしろ現実には、設定ミス、権限設定のミス、共有範囲のミスみたいな、すごく地味なところから事故が起きます。正直、ここがいちばん怖いところだと思います。派手な攻撃より、日常業務の「ちょっとしたうっかり」のほうが、組

papoo.work

BinanceのAIセキュリティが15か月で100億ドル超の詐欺被害を防いだ話

Binanceによると、2025年初頭から2026年3月までに、10.53億ドルではなく「105.3億ドル」相当ではなく、10.53 billion dollars（約105億ドル）のユーザー損失を防いだという発表です。 同期間に、36,000件の悪意あるアドレスをブラックリスト化したとしています。 2026年第1四半期だけでも、2,290万件の詐欺・フィッシング攻撃を遮断し、19.8億ドル分の資金を守ったと主張しています。 Binanceは、24以上のAI駆動の施策と100以上のモデルを使って防御を強化しているとのことです。 AIは攻撃側にも使われており、deepfake、phishing bot、偽サイト、音声クローンなど、だましの手口がかなり高度化しているのが今回のポイントです。 暗号資産取引所のBinanceが、「AIを使ったセキュリティ機能で、2025年初頭から2026年3月までの15か月間に100億ドル超の詐欺被害を食い止めた」と発表しました。 この数字、かなりインパクトがあります。 単純に金額が大きい

papoo.work

Mac版ChatGPTデスクトップアプリにセキュリティ問題、でも「ユーザーデータ流出の証拠なし」

OpenAIのChatGPT desktop app for Macで、セキュリティ侵害が起きた 影響を受けたのは社内の2台の社員用デバイス 原因はopen-source library（誰でも使える公開ソフトウェア部品）の侵害に関連している OpenAIはユーザーデータにアクセスされた証拠はないとしている 本番システムは侵害されていないと説明している Macユーザー向けにはアップデートが配信中だが、全員に行き渡るのは6月12日までかかる WindowsやiOSのユーザーは特に対応不要 ただし、このMac版アプリは2024年にも別のセキュリティ問題があった Engadgetによると、OpenAIのChatGPTデスクトップアプリ for Macで、セキュリティ侵害が発生しました。とはいえ、ここでいきなり「ユーザーの会話が全部漏れた！」と身構える必要はなさそうです。OpenAIは、ユーザーデータがアクセスされた証拠は見つかっていないと説明しています。 今回影響を受けたのは、**社内の社員2名のデバイス

papoo.work

家の中に“ミニデータセンター”を置く時代？電力網の負担を減らす新発想

Fortuneは、家庭に小型データセンターを設置するスタートアップを紹介している 代表例は、Spanの「XFRA」と、英国のHeata Spanは、家や小規模店舗の使われていない電力容量を使って計算処理を行う Heataは、データ処理の熱を家庭の給湯・暖房に再利用する ただし、こうした仕組みが本当に環境負荷を下げるのかは議論がある 効率化がむしろ需要を増やす「Jevons paradox」の懸念も指摘されている AIブームでデータセンターがどんどん増えています。 でも、その“巨大倉庫みたいな設備”が電力網に負担をかけ、電気代や環境負荷を押し上げるのではないか、という不安も強まっています。 そんな中でFortuneが紹介しているのが、かなり面白い発想です。 「じゃあ、巨大なデータセンターを1か所に集めるのではなく、家庭の中や家の外に小さな計算装置を分散して置けばいいのでは？」 というスタートアップたちです。 率直に言うと、これはかなりSFっぽくてワクワクします。 でも同時に、そんなにうまくいくのか？という疑問もかなり大きい。

papoo.work

scrcpy 4.0登場：画面ミラーリングの定番が、かなり大きく進化した

scrcpy が SDL2 から SDL3 に移行し、今後の機能拡張や保守性が強化された flex display により、仮想ディスプレイをウィンドウサイズに合わせて柔軟に変えられるようになった camera の torch（ライト）と zoom を操作できるようになり、カメラ用途がかなり便利に ウィンドウのアスペクト比固定、`--keep-active`、`--background-color` など、使い勝手の改善が多い Meta Quest のちらつきや音声処理のCPU負荷など、地味だけど重要な不具合修正も多数 `F11` で fullscreen、`Mod+q` で終了など、ショートカットも増えている Android 画面をPCに映して操作できるツールとして、scrcpy はかなり定番です。 USBでもWi-Fiでも使えて、しかも軽い。個人的にも「Androidの画面をちょっと確認したい」「端末をPCからサクッと操作したい」という場面では、まず候補に入るツールだと思っています。 その scrcpy が v4.0 に到達しました。

papoo.work

EPAが「空気汚染対策より先に建設してよい」と認める方針へ：発電所とデータセンターをめぐる危うい動き

EPAが、air permits（大気汚染の許可）を正式に得る前でも、データセンターや発電所、工業施設が「non-emitting components（排出しない部分）」の建設を始められるようにすると発表した。 この記事では、Sierra Clubがこの動きを強く批判している。 背景には、データセンター増加に伴う電力需要の急増があり、その受け皿としてgas power plant（ガス火力発電所）計画が増えている。 Sierra Clubは、米国全体でガス火力の計画容量が約50%増える可能性があるとする tracker を公表した。 問題は、こうした発電所が建てばnitrogen oxides（窒素酸化物）、particulate matter（粒子状物質）、methane（メタン）などを出し、健康被害につながりうること。 この記事の主役は、EPAの規制緩和そのものというより、「データセンター需要を口実に、汚染の強いインフラを早く通してしまう流れ」への警戒だと思う。 CleanTechnica が紹介しているのは

papoo.work

HopperはメインフレームをAIで“普通の操作感”に近づけるか？ Hypercubicの新しい挑戦を解説

Hopperは、メインフレーム向けのAIエージェント／エージェント型開発環境として紹介されている Model Context Protocol（MCP）を使って、AIエージェントをメインフレームに接続する TN3270端末操作、データセット確認、JCL作成、ジョブのデバッグ、VSAM照会、z/OS上でのオペレーションまで扱える 自然言語で運用できるのが大きな特徴で、しかも変更前には承認を待つ仕組みがある 失敗したジョブの解析や、TN3270の本格的な操作サポートも売りになっている 個人向けの無料プランと、企業向けのセキュリティ・管理機能つきプランがある Hypercubicが公開した Hopper は、ひとことで言うと「メインフレームをAIで触れるようにするツール」です。 しかも単なるチャットボットではなく、エージェント型開発環境と呼んでいるのがポイントです。 「エージェント型」というのは、AIがただ答えるだけではなく、実際に操作や手順の実行まで手伝うタイプのことです。たとえば「このジョブを確認して」「失敗原因を調べて」「

papoo.work

ブラウザでPPOを育てる「tinyppo-snake」って何が面白いのか

tinyppo-snake は、ブラウザ上でPPOの学習を動かせるデモページ 対象は Snake（ヘビ）ゲーム風の環境 で、強化学習の様子を見ながら学べる `Train / Watch / Weights` のタブで、学習・観戦・重み確認 を切り替えられる 学習の進み具合は、`avg500` や `peak`、`roll/s`、`kl` などの指標で確認できる `Compare runs` や `grid` 表示で、複数の実験を並べて比較 できるのが便利 まだ「待機中」の状態でも、UIだけで研究ツールっぽさがあってかなり楽しい `tinyppo-snake` は、Gradient Explorer 上で公開されている in-browser PPO training のデモです。 ざっくり言うと、ブラウザを開くだけで、PPOという強化学習アルゴリズムの学習過程を見たり、回したりできる というものです。 PPOは `Proximal Policy Optimization` の略で、強化学習でよく使われる手法のひとつです。 難しく聞こえますが

papoo.work

Google I/O 2026までの1年で、GoogleのAIはここまで進んだ

CNETの記事は、昨年のGoogle I/O以降にGoogleが出してきたAI関連アップデートを総ざらいしている いまのGoogleは、単なる「検索会社」ではなく、AIを中心に製品群を再設計しているように見える Gemini、検索、写真、Android、Workspaceなど、Googleの主要サービスのほぼ全部にAIが入り込んでいる これは便利さの進化でもある一方で、AIが生活のあちこちに“常駐”する時代が本格化したとも言える 個人的には、GoogleのAI戦略は「派手な新機能」よりも、毎日の使い勝手をじわじわ変えるのがうまいのが怖くもあり面白い CNETの「Google I/O 2026: Every AI Drop Since Last Year」は、タイトル通り、Google I/Oの前回開催からこの1年ほどの間にGoogleが発表・展開してきたAI関連の動きをまとめた記事です。 元記事の見出しや構成からわかるのは、これは「1つの新製品の紹介」ではなく、GoogleのAIがこの1年でどう積み上がってきたかを振り返る総集編だ

papoo.work

Dune Analytics、AIと機関投資家向け路線に大転換　全体の25%を削減へ

Dune Analyticsが全従業員の25%を削減した 理由は、AIツールと機関投資家向けの事業に軸足を移すため CEOのFredrik Haga氏は、今後は「AI」と「onchainに来る機関投資家」の2本柱に集中すると説明 新製品 Dune MCP は、SQLやデータ基盤の知識がなくてもダッシュボードを作れるのが売り 暗号資産業界では、AI導入と効率化を理由にした人員削減が増えている ただし専門家の見方では、AIは単なる置き換えではなく、仕事のやり方そのものを作り直している面が大きい 暗号資産のデータ分析プラットフォームとして知られる Dune Analytics が、従業員の 25%を削減しました。 発表したのは共同創業者兼CEOの Fredrik Haga 氏。理由は、会社の重点を AI と 機関投資家向けの暗号資産導入 に絞り直すためです。 正直、これはかなり象徴的なニュースだと思います。 Duneは「暗号資産のデータを見える化する会社」という印象が強いのですが、その会社

papoo.work