Red HatのNPM公式チャンネルで30本超のパッケージが侵害——Shai-Huludワームが認証情報を窃取

Q: 自分が影響を受けたかどうかをどう確認すればいいですか？

過去36時間のあいだに`@redhat-cloud-services`配下のパッケージをインストールまたはCIで実行した形跡があるかを確認してください。心当たりがある場合は、当該端末・CI/CDパイプライン・関連クラウド/リポジトリのすべての認証情報を侵害前提として扱い、IoCをAikidoとSocketの公開リストと突き合わせる必要があります。

Q: なぜ「Shai-Hulud」が脅威として扱われているのですか？

Shai-Huludは`npm install`時点で実行され、収集した認証情報を使って他のパッケージへ自己増殖する設計だからです。先月オープンソースとして公開されたことで、TeamPCP以外の攻撃者集団も利用可能になり、同種のサプライチェーン攻撃が今後さらに増える可能性が指摘されています。

Red Hatが管理する公式npmチャンネル「@redhat-cloud-services」が侵害され、30本を超えるパッケージにワーム型マルウェアが仕込まれたとセキュリティ各社が報告しました。標的はGitHubやKubernetes、Vaultなどの認証情報で、感染端末から別のパッケージへ自己増殖する仕組みを備えています。Ars Technicaが伝えました。

攻撃の概要——「@redhat-cloud-services」が乗っ取られた

セキュリティ企業Aikidoによると、サプライチェーン攻撃は月曜日（2026年6月1日週）に始まり、記事公開時点でも進行中でした。攻撃者はnpmリポジトリ上でRed Hat公式パッケージ専用に予約されている正規チャンネル「@redhat-cloud-services」を掌握し、悪意あるコードを混入させたパッケージを配布したとされています。Red Hatのクラウドサービスを利用する開発者にとって信頼性の高いチャンネルだっただけに、影響範囲は広がりやすい構造でした。

影響を受けたパッケージは30本以上にのぼると見られています。攻撃者がどのように名前空間の制御を奪ったかは正確には明らかになっていませんが、過去のサプライチェーン攻撃を通じて入手された認証情報が利用された可能性が指摘されています。

Shai-Huludワームの仕組み——npm installの段階で発動

このワームは「Shai-Hulud」と名付けられており、npm installの実行時に難読化されたペイロードを発動させます。つまり、開発者がパッケージをコード内で実際に利用する前の、インストールやCI実行の段階で被害が発生し得る点が特徴です。

Socketの分析によると、Shai-Huludが収集対象とする認証情報には以下が含まれます。

GitHub Actionsのシークレット
npmトークン
KubernetesおよびVault関連の認証材料
各種クラウドサービスの認証情報

収集された認証情報は暗号化されたうえでWebリクエストとして外部に送信されます。フォールバックとして、認証情報が利用可能な場合は侵害済みのGitHubリポジトリに暗号化データを公開する仕組みも備えています。さらに感染端末がアクセスできるサードパーティアカウントに対して、バックドア入りパッケージを再公開することで自己増殖していくとされています。

Shai-Hulud自体は先月オープンソースとして公開されたマルウェアと特徴が一致し、最初に利用したのはTeamPCPと呼ばれるグループでした。TeamPCPはこのワームを使った「最大規模のサプライチェーン攻撃」に対して$1,000（約15万円）の報酬を出すコンテストを実施していたと報じられています。同グループは過去にもTrivyやCheckmarx、Bitwardenに関連するサプライチェーン攻撃に関与しており、Shai-Huludが他の攻撃者にも広く渡ったいま、同種の攻撃はさらに増加する可能性があると見られています。

Red Hatの声明と侵害経路——CI/CDパイプラインへの関心

今回の配布はGitHub ActionsのOIDC（OpenID Connect）経由で行われており、Red HatのCI/CDパイプラインが侵害されていたことを示唆していると報じられています。OIDCは一時的な認証情報を介してクラウドサービスとやり取りするためのセキュリティ機構で、本来はサプライチェーン全体の防御を強化する仕組みです。GitHub Actions OIDCの侵害は、従業員端末に対する過去のサプライチェーン攻撃が引き金になった可能性が高いとセキュリティ各社は指摘しています。

Red Hatは記事公開後に送付されたメールで、悪意あるパッケージはすでに削除済みであるとコメントしました。

「対象のパッケージは厳密に内部開発に限定されていたものであり、悪意あるコードがconsole.redhat.com経由で顧客向けに配布されたことはありません。調査は継続中ですが、顧客・パートナー環境やRed Hatの本番システムへの影響は確認されていません」

なお、Ars Technicaの報道によれば、攻撃が露見してから数時間以内に大半のパッケージは取り下げられたものの、すべてが削除されたわけではないとされています。被害規模の正確な特定は、AikidoおよびSocketによる継続調査を待つ必要があります。

開発者がいま取るべき対応——「過去36時間」が分水嶺

Socketの研究者は「@redhat-cloud-servicesの該当バージョンをインストールしたあらゆるシステムは、侵害された可能性があるものとして扱うべきだ」と警告しています。ペイロードはnpm install時点で実行されるため、本番環境でパッケージを呼び出していなくても、インストールやCI実行が行われていれば被害対象になります。

近年のサプライチェーン攻撃の実態を踏まえると、過去36時間のあいだに該当パッケージに触れた人は、ワークステーション・CI/CDパイプライン・クラウドサービスおよびリポジトリ向けの全認証情報について侵害を前提に調査するのが妥当だと、Socketは推奨しています。先日のCheckmarx被害では、初期侵害の完全な排除に失敗した結果、同社はさらに2度の追加攻撃を受けたと報じられています。中途半端な対応が二次・三次被害を招く構造的リスクは、今回のRed Hat事案にも当てはまるとの指摘があります。

具体的な影響範囲やIoC（侵害指標）の一覧はAikidoとSocketの両社が公開しており、影響の可能性がある組織はこれらを直ちに突き合わせる必要があります。いまこの瞬間、関連パッケージに触れている開発チームは、作業を中断してでも調査に着手すべき緊急度の高い更新です。

Mini Shai-Hulud派生攻撃はnpm外のエコシステムにも拡大

Shai-Huludを起点とする派生攻撃は、複数のレジストリを横断する規模に成長しています。Microsoftは2026年5月11日に「Mini Shai-Hulud」の再燃を観測し、npmで170以上、PyPIで2件、合計404の悪意あるバージョンが侵害されたと報告しました。npmとPyPIを同時に標的とする供給チェーン攻撃の初事例とされています。攻撃グループTeamPCPはGoogle Threat Intelligenceに「UNC6780」として追跡されており、2026年3月以降にnpm、PyPI、GitHub Actions、Docker Hub、VS Code Marketplaceにわたる20件の攻撃波で500超のパッケージを汚染しています。

主な近接事例は以下のとおりです。

5月19日: TeamPCPが22分間の自動バーストで323パッケージ・300超バージョンを公開
TanStack: 42パッケージ・84悪意バージョン（週数百万ダウンロード規模）
Mistral AI、UiPath、OpenSearch、AntV関連パッケージも侵害確認

npm側はStaged Publishingで公開フローを刷新

レジストリ運営側も対抗策を打ち出しています。GitHubは2026年5月22日にnpmの「Staged Publishing」を一般提供として投入し、すべてのnpmパッケージで利用可能となりました。

2FA承認を挟む新しい公開モデル

従来はnpm publishの実行が即座にnpmjs.comへ反映されていましたが、新方式ではビルド済みtarballがいったんステージキューに置かれ、メンテナーが2FA認証で明示的に承認するまで配布されません。npm stage approveやnpm stage rejectなどのコマンドはOIDCトークンや細粒度アクセストークンでは実行できず、対話的な認証が必須とされています。GitHubが推奨する構成では、CI/CDワークフローにnpm stage publishのみを許可し、npm publishを拒否する「stage-only」を組み合わせます。あわせて、Trusted PublishingのOIDC設定を特定のブランチとワークフローファイルに限定し、id-token: writeを発行ジョブのみに付与する運用も推奨されています。

Q&A

Q. 自分が影響を受けたかどうかをどう確認すればいいですか？ 過去36時間のあいだに@redhat-cloud-services配下のパッケージをインストールまたはCIで実行した形跡があるかを確認してください。心当たりがある場合は、当該端末・CI/CDパイプライン・関連クラウド/リポジトリのすべての認証情報を侵害前提として扱い、IoCをAikidoとSocketの公開リストと突き合わせる必要があります。

Q. console.redhat.com 経由で配布されたRed Hat製品にも影響はありますか？ Red Hatのコメントでは、悪意あるコードがconsole.redhat.com経由で顧客向けに配布されたことはなく、顧客・パートナー環境やRed Hat本番システムへの影響は確認されていないとされています。ただし調査は継続中で、影響範囲が今後拡大する可能性は否定できません。

Q. なぜ「Shai-Hulud」が脅威として扱われているのですか？ Shai-Huludはnpm install時点で実行され、収集した認証情報を使って他のパッケージへ自己増殖する設計だからです。先月オープンソースとして公開されたことで、TeamPCP以外の攻撃者集団も利用可能になり、同種のサプライチェーン攻撃が今後さらに増える可能性が指摘されています。