www.wiz.io

上記の記事にあるShai-Hulud 2.0についてちょっと調べたのでメモします。

• 2025年11月npmエコシステムに対して大規模なサプライチェーン攻撃が発生した
• 今回の事件はShi-Hulud 2.0と呼ばれ、25,000以上のGitHubリポジトリが影響を受けたと報告されている

• この攻撃の特徴.

  • GitHub上の多数のリポジトリに攻撃者が不正コードを混入
  • そこからnpmパッケージに汚染が波及
  • 汚染されたパッケージがインストールされると.
    • postinstallスクリプトが自動で悪意あるコードを実行
    • GitHubトークン・SSH key・環境変数が不正に取得される可能性がある
  • パッケージをインストールした瞬間に自動的に攻撃が発動する.

• GitHubでリポジトリが公開/非公開であるかは関係なく、開発者のローカル環境が該当のnpmパッケージをインストールした時に攻撃される

学べた点

• 依存パッケージを自分のチームが実装したコードと同じ精度で扱う必要がある
  • 「自分のチームがプロダクトに問題のあるコードを入れていないか」だけでなく依存パッケージの作者のGitHubセキュリティまで確認する必要がある
• SBOM（Software Bill of Materials）という概念がある
  • https://www.freee.co.jp/kb/kb-trend/sbom-software-bill-of-materials/
• CI/CDとローカル環境を分離するという方法がある.
  • 開発者のローカルでnpm installは行わず、依存解決は全て隔離されたビルド環境で実施して、SBOM+マルウェアスキャンをCIで強制するような方法もありそう