Shai Huludマルウェアとは何ですか??
もしあなたが開発者で、ここ数ヶ月、あちこちでShai Huludについて耳にしているなら、あるいはもっと悪いことに, システムがnpmまたはPyPIパッケージを介して侵害された可能性があると思われる場合は、今すぐこれを読む必要があります。. これは、現在進行中の最も危険で急速に進化しているサプライチェーン攻撃の1つです。 2025 と 2026, そして、あなたがこれを読んでいる今もなお、それは広がり続けている。. 環境の評価と清掃の手順については、下部のガイドを参照してください。.
Shai Hulud は自己複製する認証情報窃盗 マルウェア TeamPCPという脅威グループによるワームが、9月に初めて出現して以来、npmとPyPIレジストリ全体で数百のパッケージを侵害している。 2025. フランク・ハーバートの小説『デューン』に登場する架空の砂虫にちなんで名付けられた。. CISAはそれについて公式の警告を発した。, これは世界最大のJavaScriptレジストリに影響を与える、広範囲にわたるソフトウェアサプライチェーンの侵害であると述べている。, npmjs.com. 5月現在 2026, TeamPCPは、MITライセンスの下、GitHub上でマルウェアのコードをオープンソース化している。, つまり、独立した脅威アクターが自由にフォークや改変を行い、その影響範囲を劇的に拡大し、封じ込めを著しく困難にしているということだ。. 影響を受けるパッケージには、TanStackのような広く利用されているプロジェクトが含まれています。, ミストラルAI, Bitwarden CLI, SAP CAPパッケージ, ポストホッグ, そして@ctrl/tinycolorライブラリ, 毎週数百万回ダウンロードされている.
シャイ・フルードの概要
| タイプ | 自己複製する認証情報窃盗ワーム / npmおよびPyPIパッケージを標的としたソフトウェアサプライチェーン攻撃. |
| 症状 | 侵害されたクラウド認証情報 (AWS, GCP, Azure, GitHub). 盗まれたAPIキーと環境情報がGitHubの公開リポジトリに流出した。. あなたのアカウントで予期しない新しいパブリックGitHubリポジトリが作成されました. CI/CDパイプラインのフックに悪意のあるコードが書き込まれている. IDE統合と開発者ツールによる永続性. 認証情報の失効が検出された場合、環境データが消去される可能性があります。. |
| 取り外し時間 | 約 15 システム全体のスキャンに数分 |
| 除去ツール |
システムがマルウェアの影響を受けているかどうかを確認する
ダウンロード
マルウェア除去ツール
|
どうやってシャイ・フルードを手に入れたのか?
Shai Huludは、本当に警戒するのが難しいほど巧妙なやり方で、あなたが明らかに間違ったことをする必要は一切ありません。. 開発者や組織が受ける影響は以下のとおりです。:
- 不正なnpmまたはPyPIパッケージをインストールする マルウェアは、管理者の認証情報を乗っ取ることで、広く使われている正規のパッケージに自身を注入する。. キャンペーンウェーブの最後の24~48時間以内に、整合性を確認せずに影響を受けるネームスペースからパッケージをインストールした場合, お使いのマシンと認証情報は完全に侵害されたものとみなしてください。. 悪意のあるコードは、 インストール前の段階 つまり、CI/CDパイプライン内のテストやセキュリティチェックの前に実行されるということです。.
- CI/CDパイプライン感染 — シャイ・フルード 2.0 特にビルドサーバーと自動化パイプラインを対象としています。. 感染したパッケージを処理するほぼすべてのビルドサーバーで実行されます。, 人間同士の交流の必要性を完全に排除する. これは ソフトウェアのバンドル 産業規模で兵器化.
- 侵害された管理者アカウント — このワームは、盗んだGitHubトークンとnpmトークンを使用して、正規のパッケージメンテナーとして認証します。, それらのメンテナーが所有する他のパッケージに悪意のあるコードを注入する, そしてそれらを再公開し、直接的な攻撃者の関与なしに指数関数的に拡散させる。.
- オープンソースのフォーク — TeamPCPがソースコードを公開して以来, 独立した脅威アクターが独自の改変版を展開している, つまり、阻止すべき既知の変異株は一つもないということだ。.
Shai Hulud は何をするのか?
Shai Huludがマシンまたはビルドサーバー上で実行されると, 動きが速く、攻撃力も強い. 実際のところ、これはこういうことをするんです。:
- 大規模な認証情報窃盗 — パンを使う (高速JavaScriptランタイム), このマルウェアはGitHubの個人アクセストークンを組織的に盗み出す。, AWS, GCP, Azure, Kubernetes認証情報, SSHキー, 環境変数や設定ファイルで見つかった秘密情報. これらすべては、セッションP2Pネットワークを介して攻撃者が制御するエンドポイントに流出し、あらゆる手段による検出やブロックを回避するために暗号化されたメッセンジャートラフィックとして偽装されます。 接続ポート モニタリング.
- 盗まれた秘密の暴露 盗まれた認証情報は、被害者自身のアカウントで新たに作成された公開GitHubリポジトリにアップロードされます。つまり、感染後数分以内にあなたの秘密情報がインターネット全体に公開されてしまうということです。. 5月現在 2026, 研究者たちは発見した 359 最新のシャイ・フルードのキャンペーン波だけでも、盗まれた認証情報を含むリポジトリが存在する。.
- 自己増殖 盗まれたトークンを使用する, ワームは、侵害された開発者としてnpmに認証を行う。, 彼らが管理する他のパッケージを変更する, そして、毒されたバージョンを公開し、エコシステム全体に指数関数的に拡散します。 モジュール-感染連鎖レベル.
- 永続化とIDEフック 感染したら, このマルウェアは、Claude CodeのフックとVS Codeの自動実行タスクに自身を書き込みます。, つまり、悪意のあるパッケージをアンインストールするだけでは、それは削除されないということです。. また、感染したマシンを、discussion.yaml という名前のワークフローを通じて、自己ホスト型の GitHub Actions ランナーとして登録しようとします。.
- 破壊的なデータ消去機能 マルウェアが、作成した侵害されたトークンをあなたが取り消そうとしたことを検出した場合, 再帰的なワイプコマンドがトリガーされます. 一部の亜種には、ジオフェンスを利用した妨害メカニズムも含まれており、イスラエルまたはイランの地域設定がされているシステムでは、6分の1の確率で完全な再帰的データ消去が行われる。 (rm -rf/) 彼らに対して処刑された.
The C&Cサーバー Shai Hulud が使用するインフラストラクチャは、検出を特別に設計しています, ブロッキング, テイクダウンの試みを可能な限り困難にする. レジストリから悪意のあるパッケージのバージョンが削除されたからといって、環境がクリーンになったと思い込まないでください。.
あなたは何をするべきか?
キャンペーン期間中に影響を受ける名前空間からnpmまたはPyPIパッケージをインストールした場合, 環境全体を直ちに侵害されたものとして扱い、すべての秘密をローテーションしてください。, すべてのトークンを取り消す, GitHubとクラウドのアクティビティを監査する. ワイプトリガーのリスクを理解する前に、侵害されたトークンを失効させようとしないでください。. この記事の下にあるガイドに従って段階的な対応プロセスを実行し、SocketとAikidoから公開されている影響を受けるパッケージのリストを使用して依存関係ツリーを確認してください。.
Ventsislav Krastev
Ventsislavは、SensorsTechForumのサイバーセキュリティの専門家です。 2015. 彼は研究してきました, カバー, 最新のマルウェア感染に加えて、ソフトウェアと最新の技術開発のテストとレビューで被害者を支援します. マーケティングも卒業した, Ventsislavは、ゲームチェンジャーとなるサイバーセキュリティの新しいシフトとイノベーションを学ぶことに情熱を注いでいます. バリューチェーン管理を学んだ後, システムアプリケーションのネットワーク管理とコンピュータ管理, 彼はサイバーセキュリティ業界で彼の本当の呼びかけを見つけ、オンラインの安全性とセキュリティに向けたすべてのユーザーの教育を強く信じています.
フォローしてください:
Preparation before removing Shai Hulud.
実際の除去プロセスを開始する前に, 次の準備手順を実行することをお勧めします.
- これらの指示が常に開いていて、目の前にあることを確認してください.
- すべてのファイルのバックアップを作成します, 破損したとしても. クラウドバックアップソリューションを使用してデータをバックアップし、あらゆる種類の損失に対してファイルを保証する必要があります, 最も深刻な脅威からでも.
- これにはしばらく時間がかかる可能性があるため、しばらくお待ちください.
- マルウェアのスキャン
- レジストリを修正する
- ウイルスファイルを削除する
ステップ 1: Scan for Shai Hulud with SpyHunter Anti-Malware Tool
ステップ 2: レジストリをクリーンアップします, created by Shai Hulud on your computer.
通常対象となるWindowsマシンのレジストリは次のとおりです。:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
これらにアクセスするには、Windowsレジストリエディタを開き、値を削除します。, created by Shai Hulud there. これは、以下の手順に従うことで発生する可能性があります:
ヒント: ウイルスによって作成された値を見つけるには, あなたはそれを右クリックしてクリックすることができます "変更" 実行するように設定されているファイルを確認する. これがウイルスファイルの場所である場合, 値を削除します.ステップ 3: Find virus files created by Shai Hulud on your PC.
1.Windowsの場合 8, 8.1 と 10.
新しいWindowsオペレーティングシステムの場合
1: キーボードで押す + R そして書く explorer.exe の中に 走る テキストボックスをクリックしてから、 Ok ボタン.
2: クリック あなたのPC クイックアクセスバーから. これは通常、モニター付きのアイコンであり、その名前は次のいずれかです。 "私のコンピューター", 「私のPC」 また 「このPC」 またはあなたがそれに名前を付けたものは何でも.
3: PC の画面の右上にある検索ボックスに移動し、次のように入力します。 「fileextension:」 と その後、ファイル拡張子を入力します. 悪意のある実行可能ファイルを探している場合, 例は "fileextension:EXE". それをした後, スペースを残して、マルウェアが作成したと思われるファイル名を入力します. ファイルが見つかった場合の表示方法は次のとおりです:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.WindowsXPの場合, ビスタ, と 7.
古いWindowsオペレーティングシステムの場合
古い Windows OS では、従来のアプローチが有効なはずです:
1: クリックしてください スタートメニュー アイコン (通常は左下にあります) 次に、 探す 好み.
2: 検索ウィンドウが表示された後, 選ぶ より高度なオプション 検索アシスタントボックスから. 別の方法は、をクリックすることです すべてのファイルとフォルダ.
3: その後、探しているファイルの名前を入力し、[検索]ボタンをクリックします. これには時間がかかる場合があり、その後結果が表示されます. 悪意のあるファイルを見つけた場合, あなたはその場所をコピーまたは開くことができます 右クリック その上に.
これで、ハードドライブ上にあり、特別なソフトウェアによって隠されていない限り、Windows上の任意のファイルを検出できるはずです。.
Shai Hulud FAQ
What Does Shai Hulud Trojan Do?
The Shai Hulud トロイの木馬 悪意のあるコンピュータプログラムです 破壊するように設計された, ダメージ, または不正アクセスを取得する コンピュータシステムに. 機密データを盗むために使用できます, システムを支配する, または他の悪意のある活動を開始する.
トロイの木馬はパスワードを盗むことができますか?
はい, トロイの木馬, like Shai Hulud, パスワードを盗むことができます. これらの悪意のあるプログラム are designed to gain access to a user's computer, 被害者をスパイ 銀行口座の詳細やパスワードなどの機密情報を盗む.
Can Shai Hulud Trojan Hide Itself?
はい, できる. トロイの木馬は、さまざまな手法を使用して自分自身を隠すことができます, ルートキットを含む, 暗号化, と 難読化, セキュリティスキャナーから隠れて検出を回避するため.
トロイの木馬は工場出荷時設定にリセットすることで削除できますか?
はい, トロイの木馬はデバイスを出荷時設定にリセットすることで削除できます. これは、デバイスを元の状態に復元するためです。, インストールされている可能性のある悪意のあるソフトウェアを排除する. 工場出荷時設定にリセットした後でもバックドアを残して再感染する、より洗練されたトロイの木馬があることに留意してください。.
Can Shai Hulud Trojan Infect WiFi?
はい, トロイの木馬が WiFi ネットワークに感染する可能性があります. ユーザーが感染したネットワークに接続したとき, このトロイの木馬は、接続されている他のデバイスに拡散し、ネットワーク上の機密情報にアクセスできます。.
トロイの木馬は削除できますか?
はい, トロイの木馬は削除可能. これは通常、悪意のあるファイルを検出して削除するように設計された強力なウイルス対策プログラムまたはマルウェア対策プログラムを実行することによって行われます。. ある場合には, トロイの木馬を手動で削除する必要がある場合もあります.
トロイの木馬はファイルを盗むことができますか?
はい, トロイの木馬がコンピュータにインストールされている場合、ファイルを盗むことができます. これは、 マルウェア作成者 またはユーザーがコンピュータにアクセスして、そこに保存されているファイルを盗む.
トロイの木馬を削除できるマルウェア対策?
などのマルウェア対策プログラム スパイハンター トロイの木馬をスキャンしてコンピュータから削除することができます. マルウェア対策を最新の状態に保ち、悪意のあるソフトウェアがないかシステムを定期的にスキャンすることが重要です.
トロイの木馬は USB に感染する可能性があります?
はい, トロイの木馬は感染する可能性があります USB デバイス. USB トロイの木馬 通常、悪意のあるファイルをインターネットからダウンロードしたり、電子メールで共有したりすることで拡散します。, allowing the hacker to gain access to a user's confidential data.
About the Shai Hulud Research
SensorsTechForum.comで公開するコンテンツ, this Shai Hulud how-to removal guide included, 広範な研究の結果です, 特定のトロイの木馬の問題を取り除くためのハードワークと私たちのチームの献身.
How did we conduct the research on Shai Hulud?
私たちの調査は独立した調査に基づいていることに注意してください. 私たちは独立したセキュリティ研究者と連絡を取り合っています, そのおかげで、最新のマルウェア定義に関する最新情報を毎日受け取ることができます, さまざまな種類のトロイの木馬を含む (バックドア, ダウンローダー, infostealer, 身代金, 等)
さらに, the research behind the Shai Hulud threat is backed with VirusTotal.
トロイの木馬によってもたらされる脅威をよりよく理解するため, 知識のある詳細を提供する以下の記事を参照してください.