サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Node Package Manager（NPM）エコシステムを襲った大規模なサプライチェーン攻撃を受け、セキュリティチームに対しシステム監視を強化するよう要請しました。

「Shai-Hulud」と名付けられたこの攻撃は、自己増殖型ワームが500以上のソフトウェアパッケージを侵害したとStepSecurityが報告しています。攻撃者はアクセス権を獲得後、マルウェアを注入し、GitHubの個人アクセストークンやAmazon Web Services、Google Cloud Platform、Microsoft Azureなどの各種クラウドサービス向けAPIキーといった機密性の高い認証情報を環境からスキャンしました。

盗まれた認証情報は攻撃者が管理するエンドポイントにアップロードされ、その後「Shai-Hulud」という公開リポジトリにアップロードされました。Palo Alto Networksの研究者によると、攻撃者はLLM（大規模言語モデル）を使用して悪意のあるスクリプトを作成したとのことです。

GitHubは、攻撃の影響を軽減するための措置を講じ、npmレジストリから500以上のパッケージを削除しました。さらに、マルウェアの兆候を含む新しいパッケージもブロックされています。

CISAは、環境が侵害されていないことを確認するため、セキュリティチームに以下の緩和策を講じるよう強く求めています。

* npmパッケージエコシステムを利用するすべてのソフトウェアについて、依存関係のレビューを実施する。
* アーティファクトリポジトリおよび依存関係管理ツール内で、影響を受けた依存関係のキャッシュバージョンを検索する。
* すべての開発者認証情報を速やかにローテーションする。
* 開発者アカウントにフィッシング耐性のある多要素認証を導入する。

元記事：[CISA urges dependency checks following Shai-Hulud compromise](https://www.cybersecuritydive.com/news/cisa-dependency-checks-shai-hulud-compromise-npm/700000/)