概要
セキュリティ研究者らは、2026年1月2日、npmレジストリにアップロードされた「Shai Hulud」マルウェアの新たな改変株を発見しました。この新亜種は「@vietmoney/react-big-calendar」というパッケージに偽装して潜伏しており、攻撃者が本格的な攻撃を開始する前に、更新されたペイロードのテストを行っている可能性が強く示唆されています。
特筆すべきは、今回の亜種が過去のキャンペーンとは異なり、広範囲な感染や配布の兆候が見られない点です。これは、研究者が攻撃者のテストフェーズで捕捉したことを意味し、マルウェアが単なるコピーではなく、オリジナルソースコードから再生成されていることが分析によって判明しています。これは、高度な技術を持つ脅威アクターがマルウェアの基盤コードにアクセスしていることを示唆しています。
重要なコード変更点
新亜種は、その運用構造においていくつかの注目すべき変更を導入しています。
- 最初の感染ファイルは、元の名称から「bun_installer.js」に改名されました。
- 主要なペイロードは現在「environment_source.js」として動作します。
これらの変更は、旧バージョンのシグネチャベースの検出メカニズムを回避するための意図的な試みと考えられます。
しかし、脅威アクターはファイル命名スキーマにおいて致命的なプログラミングエラーを犯しました。マルウェアは、侵害されたGitHubリポジトリから「c0nt3nts.json」を取得しようとしますが、誤ってファイルを「c9nt3nts.json」として保存してしまいます。このタイプミスは、マルウェアのデータ流出チェーンに機能的な中断をもたらし、盗まれた情報を適切に保存・取得する能力を妨げる可能性があります。
GitHubリポジトリへのデータ流出時、新亜種はリポジトリの説明を「Goldox-T3chs: Only Happy Girl」と設定します。これは以前の識別子「Sha1-Hulud: The Second Coming」からの変更であり、研究者が感染したリポジトリをより効果的に追跡するのに役立つと同時に、このキャンペーンの帰属マーカーとしても機能します。
運用上の改善と強化
改変されたマルウェアは、先行バージョンと比較していくつかの技術的改善を示しています。
- TruffleHogシークレットスキャンディングのエラー処理が強化され、実行時間制限を超えるプロセスを強制終了するタイムアウトメカニズムが追加されました。
- 流出データファイルは、「3nvir0nm3nt.json」、「cl0vd.json」、「c9nt3nts.json」、「pigS3cr3ts.json」、「actionsSecrets.json」に改名されました。これは、以前のファイル命名パターンを探す検出システムを回避することを目的としています。
- 以前のバージョンに存在したデッドマンスイッチメカニズムは完全に削除されており、これは検出時のフェイルセーフアクションをトリガーするマルウェアの能力を低下させる運用上の重要な変化を意味します。
- プラットフォーム固有のパッケージ公開機能が含まれており、Windowsシステムでbunコマンドが適切に実行されないという以前の制限に対処するため、Windowsプラットフォームで「bun.exe」を呼び出す条件ロジックが実装されています。
さらに、シークレット収集操作の順序にも微妙ですが重要な変更が見られます。新バージョンでは「contents」ファイルを最後に保存するようになり、データ収集シーケンスにおける意図的な変更が、運用セキュリティまたは流出効率の向上に寄与している可能性があります。
組織への勧告
npmパッケージを使用している組織は、@vietmoney/react-big-calendarパッケージの依存関係を直ちに監査し、このキャンペーンに関連するGitHubリポジトリの説明およびファイル命名パターンに対する監視を強化することが推奨されます。