Red Hatは2026年6月1日、@redhat-cloud-services の npm 名前空間で公開する複数パッケージのサプライチェーン侵害を確認したと公表した。
侵害されたGitHubアカウントを通じ、RedHatInsights組織内のリポジトリへ無許可のコミットがプッシュされ、フロントエンド向けライブラリに悪意あるコードが注入された。Red Hatはセキュリティ情報RHSB-2026-006を発行し、該当バージョンをnpmから削除した。
OX Securityによれば、使用されたマルウェアはインフォスティーラーのShai-Huludで、6段階のペイロード配信チェーンを持ち、index.jsを起点に15種類のペイロードを投下する。攻撃者はGitHubをC2基盤として悪用し、「firedalazer」の文字列を付したコミットでペイロードを配信した。現時点で顧客側の対応は不要とされ、調査は継続中だ。
From: Red Hat Confirms Supply Chain Compromise of @redhat-cloud-services npm Packages
【編集部解説】
このニュースの本質は、「Red Hat という大手が狙われた」ことよりも、その攻撃手法が”誰でも使える道具”になりつつある点にあります。
まず呼称を正しておきましょう。参照元記事は今回のマルウェアを「Shai-Hulud」と総称していますが、複数の調査機関はより正確に、亜種「Miasma(ミアズマ)」として特定しています。この版は、Duneに由来するShai-Huludの名称を、ギリシャ神話の語彙へ置き換えている点が特徴です。
なぜ亜種が次々と生まれているのでしょうか。鍵は「設計図の流出」にあります。TeamPCPと呼ばれるグループが2026年5月12日にShai-HuludのソースコードをGitHubへ公開し、BreachForums上で他者にも同様のキャンペーンを促しました。攻撃のレシピが出回った結果、模倣犯の参入障壁は大きく下がっています。つまり今回は単発の事件ではなく、連鎖の一コマと捉えるべきでしょう。
技術的な核心も、参照元記事より一歩踏み込む必要があります。記事は原因を「侵害された開発者アカウント」と説明していますが、より精緻な分析では、攻撃者はGitHub ActionsのOIDCを通じてパッケージを公開しており、npmトークンではなくCI/CDパイプラインそのものが侵害されていました。注入されたワークフローは正規のSLSA来歴(provenance)証明を伴い、パッケージを完全に正当なものに見せかけていたのです。改ざんを防ぐはずの「証明書」が逆手に取られた——ここに今回の厄介さが凝縮されています。
一点、重要な訂正があります。参照元記事は投下物のひとつに「Claude API hooks」を挙げていますが、api.anthropic.comというURLの役割については、調査機関によって見解が分かれています。OX Securityは、研究者を惑わせマルウェアの真の挙動や送信先を見えにくくするための「おとり(デコイ)」として加えられたものだと分析しています。一方、JFrogやSocketは実際のデータ送信先として機能していたと報告しており、現時点で確定的な結論は出ていません。いずれにせよ、AIが主体的に攻撃の道具とされたわけではないという点は共通しています。
影響範囲は小さくありません。数え方は機関により異なりますが、32のパッケージにわたる96のバージョンが侵害され、それらは週あたり累計116,991回ダウンロードされていました。Wizは少なくとも32のパッケージリリースが改ざんされ、週平均で約80,000回ダウンロードされていたと報告しています。さらにOX Securityは、盗まれた認証情報を含む感染リポジトリをGitHub上で210以上確認したとしています。自己増殖するワームである以上、被害は静的な数字には収まりません。
ここで読者に注意していただきたいのが、立場による「温度差」です。参照元記事はRed Hatの見解に沿って「現時点で顧客の対応は不要」と伝えています。実際にRed Hatは、影響は社内の開発ツールに限定されると説明しました。しかし一方で、侵害されたバージョンを導入した組織には、すべての認証情報・シークレット・トークンを直ちにローテーションするよう勧告されています。「対応不要」の四文字だけを切り取ると、リスクを過小評価しかねません。
長期的に見れば、この一件はソフトウェアサプライチェーンの信頼モデルそのものへの問いかけです。SBOM(ソフトウェア部品表)やSLSAといった近年の仕組みは、本来こうした攻撃を防ぐために整えられてきました。その仕組みが「正規の証明付き」で突破された事実は、規制やセキュリティ標準のあり方を再考する契機になるはずです。OX Securityは、npmが抱えるマルウェア問題は依然として未解決であり、開発者アカウントの窃取を防ぐ対策が機能していないように見える、と指摘します。
私たちが今この記事を書くのは、これがRed Hatという一社の「事故」ではなく、現代のソフトウェアが立つ土台の脆さを映す事例だからです。便利さを支える依存関係の網は、そのまま攻撃者の通り道にもなります。技術の進化を喜びつつ、その足元を見つめる目を持つことが大事です。
【用語解説】
サプライチェーン攻撃
ソフトウェアやサービスが依存する外部の部品・供給網に不正を仕込み、それを利用する多数の組織へ被害を広げる攻撃手法である。今回はnpmという供給網が標的となった。
npmの名前空間(ネームスペース)
npm上でパッケージをまとめる「@組織名/パッケージ名」という識別領域を指す。@redhat-cloud-services はRed Hatが管理する領域である。
インフォスティーラー
感染した端末から認証情報やトークン、各種シークレットを盗み出すことを目的とした情報窃取型マルウェアの総称である。
Shai-Hulud(シャイ・フルード)/ Miasma(ミアズマ)
自己増殖する性質を持つnpm向けマルウェアの系譜。Shai-Huludは小説『Dune』の砂虫に由来する。Miasmaはその亜種で、ギリシャ神話の語彙を用いる点が特徴である。
ワーム
自らを複製し、他のパッケージや環境へ自動的に感染を広げる性質を持つマルウェアを指す。被害が連鎖的に拡大しやすい。
ペイロード
マルウェアが最終的に実行する「本体部分」のこと。今回は復号・デコードの段階を経て、複数の機能が順次投下される構造になっている。
C2(コマンド・アンド・コントロール)
攻撃者が感染端末へ指令を送り、盗んだ情報を受け取るための司令塔となる基盤。今回はGitHubがその役割に悪用された。
GitHub Actions OIDC
GitHubの自動処理(Actions)が、外部サービスへ短時間だけ有効な正規の認証情報を発行できる仕組み。今回はこれが悪用され、正規トークンの保護をすり抜けてパッケージが公開された。
SLSA来歴証明(provenance)
ソフトウェアがどこで、どのように作られたかという出所を検証可能にする仕組み。改ざん防止を目的とするが、今回は正規の証明付きで攻撃が行われた。
IoC(侵害の痕跡)
攻撃の存在を示す手がかりとなる情報。今回は「firedalazer」というコミット文字列やMiasma関連の文字列、暗号鍵などが該当する。
TeamPCP
今回の攻撃に使われたツールの基となるShai-Huludのソースコードを公開したとされるサイバー犯罪グループ。別名Replicating Marauder、UNC6780などでも呼ばれる。
デコイ(おとり)
調査者の目を本来の挙動からそらすために仕込まれた偽の手がかり。今回は「api.anthropic.com」というURLがこの目的で使われたとされる。
【参考リンク】
Red Hat(公式サイト)(外部) エンタープライズ向けLinuxやクラウド基盤を提供する企業の公式サイト。今回侵害されたnpmパッケージの管理元である。
Red Hat セキュリティ情報 RHSB-2026-006(外部) 今回の侵害に関するRed Hat公式のセキュリティ情報ページ。調査状況や対応方針を示す一次情報である。
npm(公式サイト)(外部) JavaScript向けの世界最大級のパッケージ配布サービス。今回の攻撃の舞台となった供給網そのものである。
GitHub(公式サイト)(外部) ソースコードの管理・共有を行う開発者向けプラットフォーム。今回はリポジトリとC2基盤の双方で悪用された。
OX Security(公式サイト)(外部) ソフトウェアサプライチェーンの安全性を扱うセキュリティ企業。今回の脅威分析を行った主要な情報源である。
Anthropic(公式サイト)(外部) AIアシスタントClaudeを開発する企業。今回はそのAPIのURLがデコイとして悪用された経緯がある。
SLSA(公式サイト)(外部) ソフトウェアの来歴を検証する業界標準フレームワーク。今回はこの仕組みが逆手に取られた点が論点となった。
【参考記事】
Red Hat npm Packages Compromised to Spread a Credential-Stealing Worm(Aikido)(外部) 32パッケージ96バージョンが侵害され週116,991回DLされていた事実と、5月12日のソース公開を時系列で整理する。
New Shai-Hulud hits npm: @redhat-cloud-services Compromised(OX Security)(外部) 31以上のパッケージが侵害され感染リポジトリを210以上確認。api.anthropic.comがデコイである点も指摘する。
Miasma: Supply Chain Attack Targeting RedHat npm Packages(Wiz)(外部) 少なくとも32のパッケージリリースが改ざんされ、週平均約80,000回DLされていたと報告。無効化の進捗も追う。
Red Hat npm packages compromised to steal developer credentials(BleepingComputer)(外部) AikidoとOX Securityが発見し32パッケージ96バージョンが影響。認証情報の即時更新勧告も併記する。
Miasma Supply Chain Attack Compromises Red Hat npm Packages(The Hacker News)(外部) TeamPCPが攻撃ツールを公開したため模倣が容易になり、確定的な帰属が難しくなっている点に焦点を当てる。
Miasma NPM Supply Chain Attack(Phoenix Security)(外部) 正規の短命OIDCトークンでnpmの保護を回避した手口や、MiasmaがMini Shai-Huludの派生である点を解説する。
【関連記事】
TeamPCPがShai-HuludワームをGitHubでオープンソース化、MITライセンスでマルウェアが「民主化」される異例の事態 本記事が触れた「2026年5月12日のソース公開」を詳報。今回の事案の前提となる原因イベントである。
AntV系323パッケージにMini Shai-Hulud侵入―ソース公開で攻撃が産業化 標的はAlibaba系AntV。TeamPCP・OX Securityが関与する同系統の並行事例で、「攻撃の産業化」の視点が重なる。
OpenAI、TanStack npmサプライチェーン攻撃で社員端末2台が侵害 標的はTanStack・OpenAI。同じMini Shai-Hulud系・TeamPCP関与の事案で、被害企業の顔ぶれの違いを対比できる。
【編集部後記】
ふだん何気なく使っているソフトウェアも、その奥では無数の「部品」が信頼で結ばれて動いています。今回の一件は、その信頼そのものが揺らいだとき、私たちの足元に何が起きるのかを静かに教えてくれているように感じます。みなさんが日々触れているアプリやサービスは、どんな部品の上に成り立っているのでしょうか。
もし開発に関わる方なら、ご自身の依存関係をのぞいてみると、新しい発見があるかもしれません。私たちもまだ手探りです。よかったら、一緒に考えていけたら嬉しいです。
