動察 Beating 監測によると、npm サプライチェーンへの毒入り攻撃を行ったハッカー組織 TeamPCP は、GitHub 上で MIT ライセンスのもと、関係するワーム Mini Shai-Hulud の完全なソースコードをオープンソースとして公開した。セキュリティ担当者はコードから、このマルウェアには「死手スイッチ」が備わっていることを発見した。もし感染した開発者が残留ファイルを徹底的に削除せずに盗まれた GitHub やクラウドサービスの認証情報を取り消した場合、マルウェアは直ちにコンピュータのホームディレクトリを完全に消去する。
研究者は、このワームが macOS や Linux のバックグラウンドで守護プロセスをインストールし、毎分盗取した認証情報の有効性を監視していることを確認した。一旦サーバーから認証情報が拒否される(つまり被害者が認証情報のローテーションを行ったことを意味する)と、ワームは直ちにシステムの shred コマンドを呼び出し、現在のユーザーホームディレクトリ内のすべての書き込み可能なファイルを不可逆的に破壊・上書きする。
これは従来のセキュリティ対応フローを根底から覆すものである。企業が認証情報漏洩に直面した際の第一反応は通常、鍵の失効や停止だが、この攻撃では逆にローカルデータの破壊を引き起こす。現在、このワームは TanStack、UiPath、Mistral AI を含む約170のパッケージリポジトリの400近いバージョンに感染していることが確認されている。ハッカーは PedroTortoriello というアカウント名でコードを公開し、「この殺戮をオープンソース化」と嘲笑した後、第三者が PR を提出して FreeBSD 対応を追加する事例も出ている。現在、Microsoft はこのアカウントを迅速に封鎖し、すべての GitHub リポジトリとフォークブランチを削除したが、既に漏洩したソースコードは他のチャネルで流布され続けている。
1.65M 人気度
46.66K 人気度
932.46K 人気度
103.4K 人気度
51.72K 人気度
証明書の取り消しが逆に物理的な清算を引き起こす?TanStackのスパイウェアワームがオープンソース化され、不可逆の死手スイッチを内蔵
動察 Beating 監測によると、npm サプライチェーンへの毒入り攻撃を行ったハッカー組織 TeamPCP は、GitHub 上で MIT ライセンスのもと、関係するワーム Mini Shai-Hulud の完全なソースコードをオープンソースとして公開した。セキュリティ担当者はコードから、このマルウェアには「死手スイッチ」が備わっていることを発見した。もし感染した開発者が残留ファイルを徹底的に削除せずに盗まれた GitHub やクラウドサービスの認証情報を取り消した場合、マルウェアは直ちにコンピュータのホームディレクトリを完全に消去する。
研究者は、このワームが macOS や Linux のバックグラウンドで守護プロセスをインストールし、毎分盗取した認証情報の有効性を監視していることを確認した。一旦サーバーから認証情報が拒否される(つまり被害者が認証情報のローテーションを行ったことを意味する)と、ワームは直ちにシステムの shred コマンドを呼び出し、現在のユーザーホームディレクトリ内のすべての書き込み可能なファイルを不可逆的に破壊・上書きする。
これは従来のセキュリティ対応フローを根底から覆すものである。企業が認証情報漏洩に直面した際の第一反応は通常、鍵の失効や停止だが、この攻撃では逆にローカルデータの破壊を引き起こす。現在、このワームは TanStack、UiPath、Mistral AI を含む約170のパッケージリポジトリの400近いバージョンに感染していることが確認されている。ハッカーは PedroTortoriello というアカウント名でコードを公開し、「この殺戮をオープンソース化」と嘲笑した後、第三者が PR を提出して FreeBSD 対応を追加する事例も出ている。現在、Microsoft はこのアカウントを迅速に封鎖し、すべての GitHub リポジトリとフォークブランチを削除したが、既に漏洩したソースコードは他のチャネルで流布され続けている。