サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Node Package Manager（NPM）エコシステムを襲った大規模なサプライチェーン攻撃「Shai-Hulud」を受け、セキュリティチームに対しシステム監視の強化を強く求めました。

StepSecurityによると、「Shai-Hulud」と追跡されているこの攻撃は、自己複製型のワームが500以上のソフトウェアパッケージを侵害したものです。攻撃者はアクセス権を得た後、マルウェアを注入し、GitHubの個人アクセストークンやAmazon Web Services、Google Cloud Platform、Microsoft Azureなどの各種クラウドサービス向けAPIキーといった機密性の高い認証情報を環境からスキャンしました。

盗まれた認証情報は攻撃者が管理するエンドポイントにアップロードされ、その後「Shai-Hulud」と呼ばれる公開リポジトリにアップロードされました。Palo Alto Networksの研究者によると、攻撃者は悪意のあるスクリプトの作成にLLM（大規模言語モデル）を使用したとのことです。

GitHubは、攻撃の影響を軽減するための措置を講じ、npmレジストリから500以上のパッケージを削除しました。さらに、マルウェアの兆候を含む新しいパッケージはブロックされています。

CISAは、環境が侵害されていないことを確認するため、セキュリティチームに以下の緩和策を講じるよう促しています。

1. npmパッケージエコシステムを利用するすべてのソフトウェアについて、依存関係のレビューを実施する。
2. アーティファクトリポジトリおよび依存関係管理ツール内で、影響を受けた依存関係のキャッシュバージョンを検索する。
3. すべての開発者認証情報を速やかにローテーションする。
4. 開発者アカウントにフィッシング耐性のある多要素認証を導入する。

元記事: [https://www.cybersecuritydive.com/news/cisa-dependency-checks-shai-hulud-compromise/700000/](https://www.cybersecuritydive.com/news/cisa-dependency-checks-shai-hulud-compromise/700000/)