サイバーセキュリティ研究者らは2026年5月19日、Mini Shai-Hulud攻撃の一環として、npmメンテナーアカウント「atool」配下の@antv系パッケージおよび週間ダウンロード約110万件のecharts-for-reactなどが侵害されたと報告した。
Socketによれば、攻撃者は計323パッケージにわたり639の悪意あるバージョンを公開し、SafeDepの観測では22分のバーストで317パッケージ・637バージョンが配信された。窃取対象はAmazon Web Services、Google Cloud、Microsoft Azure、GitHub、npm、SSHなど20種類以上の認証情報で、データはt.m-kosche[.]com:443へ送信される。GitHub上には「Shai-Hulud: Here We Go Again」を逆さに記したマーカーを含むリポジトリが2,000以上確認された。
攻撃は金銭目的の脅威アクターTeamPCPによるものと評価され、Socket、StepSecurity、Endor Labs、Datadog、OX Securityなどが分析を公表している。
From: 
Mini Shai-Hulud Pushes Malicious AntV npm Packages via Compromised Maintainer Account
【編集部解説】
今回報じられた「Mini Shai-Hulud」によるAntVエコシステム侵害は、単独のサイバー攻撃事案として読むよりも、ソフトウェアサプライチェーン攻撃が「産業化・ゲーム化」した時代の象徴的な転換点として捉えるのが妥当でしょう。本稿執筆時点(2026年5月)の最新動向を踏まえ、innovaTopiaの視点から解説します。
まず事案そのものを整理しますと、攻撃者はnpmのメンテナーアカウント「atool」を侵害し、複数のセキュリティ企業が大量のパッケージ汚染を確認しています。Socketの集計では計323パッケージ・639バージョン、SafeDepの観測では22分間という極端に短いバーストで317パッケージ・637バージョンの悪意あるリリースが連続公開されました。@antv系がその大半を占めます。週間ダウンロード数約110万を誇るecharts-for-reactをはじめ、timeago.js、size-sensorといった広く使われるライブラリが軒並み巻き込まれており、セキュリティ企業Snykの集計では影響を受けたパッケージ群の合計ダウンロード数は週あたり約1,600万に達するとされます。
事案の本質は、「ワーム(自己複製マルウェア)がソフトウェア供給網そのものに住み着き始めた」という点にあります。Mini Shai-Huludは、感染した開発者・CIランナーから盗み出したnpmトークンを使い、その所有者がメンテナンスする別パッケージを自動的に列挙・改変・再公開する仕組みを持っています。一つのアカウント侵害が次々と別パッケージの侵害に連鎖していくため、被害範囲(ブラストラディウス)は雪だるま式に拡大していくのです。
今回の波を含むMini Shai-Huludキャンペーン全体で特に注目すべき技術的展開が、Sigstore証明書とSLSAプロベナンスの偽造です。これは本来、「このパッケージは確かに正規のCIパイプラインで作られた」と証明するための仕組みでした。ところが先行するTanStack波で確認されたように、ワームはCI環境で新規に発行されるOIDCトークンを横取りすることで、正規の証明書付きで悪意あるパッケージを署名・公開できてしまいます。StepSecurityやEndor Labsが指摘するとおり、アテステーションは「どこでビルドされたか」は証明しても、「そのビルドが正規に承認されたものか」までは保証しません。サプライチェーンの信頼を担保するはずだったインフラそのものが、攻撃者の偽装に利用される段階に入ったわけです。
もう一つ見落とせない点として、データの持ち出し先にGitHubそのものが使われていることが挙げられます。攻撃者は盗んだGitHubトークンで被害者アカウント配下に公開リポジトリを作成し、窃取データをJSONとしてコミットします。リポジトリの説明文には「Shai-Hulud: Here We Go Again」を逆さに書いた文字列が刻まれ、本稿時点でStepSecurityは2,200超、OX Securityは2,100超、Socketは約1,900のリポジトリを確認しています。「Dune(砂の惑星)」由来の命名規則も含めて、攻撃者は自らの足跡を半ば誇示しているようにも見えます。
さらに事態を深刻化させているのが、TeamPCPによるソースコードのオープンソース化と、BreachForumsとの共催「サプライチェーン攻撃コンテスト」です。Datadog Security Labsによれば、2026年5月12日にTeamPCP帰属とされる完全なソースコードがGitHub上で確認されました。優勝賞金はモネロで1,000ドル(約15万円・1ドル150円換算)と決して大きくはありませんが、これは金額の問題ではありません。攻撃ツールが誰でも使える形で配布され、感染パッケージのダウンロード数で順位を競う構造ができ上がったことで、攻撃の主体がもはやTeamPCPだけではなくなりました。事実、すでに「chalk-tempalte」のような、ほぼ逐語コピーの亜種を仕込んだ別グループの動きが確認されています。
これが意味することは大きく二つあります。一つは、コピーキャットが乱立することで攻撃者特定(アトリビューション)が極めて困難になること。もう一つは、ReversingLabsの専門家コメントが警告するように、サプライチェーン攻撃の活動量そのものが、持続的かつ大幅に増加するフェーズに入ることです。
日本の読者にとっても、この事案は決して遠い海外の話ではありません。AntVはアリババ傘下のアントグループ由来のデータ可視化ライブラリ群で、エンタープライズ向けダッシュボードや財務レポート、グラフ解析基盤で広く採用されています。echarts-for-reactや、相対時刻表示で定番のtimeago.jsは、フロントエンド開発の現場でも依存している可能性のある部品です。日本国内でも、依存関係を自動更新するCI/CDパイプラインを運用している組織であれば、影響範囲の確認を行う価値があるでしょう。
ポジティブな側面を強いて挙げるなら、Socketによる検知の中央値が公開から約6.7分という極めて短時間に縮まっていること、StepSecurityやMend.ioが「クールダウン」機能で新規バージョンへの自動更新を一時的にブロックする仕組みを実用化しつつあること、そしてSLSAフレームワークなど、業界全体でサプライチェーン透明性を求める動きが加速していることです。今回の事案は、こうした取り組みの必要性を社会的に裏付ける役割を果たすことになるでしょう。
長期的な視点で見ると、私たちは「信頼できるとされてきた基盤(npm、GitHub、Sigstore、OIDC)が、ことごとく攻撃の経路として転用される時代」に入っています。これは単にツールを更新すれば済む話ではなく、「依存関係を盲目的に取り込む文化」「ロックファイルを軽視する慣行」「CIランナーの権限を絞らない設計」といった、開発文化そのものを問い直す段階に来ていることを示しています。技術の進化は止められませんが、それを支える信頼の設計をどう更新していくか――今回の事案は、その問いを開発者・経営者・規制当局のすべてに向けて投げかけています。
【用語解説】
Mini Shai-Hulud(ミニ・シャイ=フルード)
npmなどのオープンソースレジストリで自己複製しながら拡散するワーム型マルウェアの一系統。盗み出した認証情報を使って次々と別パッケージへ感染を広げる。名称はフランク・ハーバートのSF小説『Dune(砂の惑星)』に登場する巨大な砂虫「シャイ=フルード」に由来する。
preinstallフック
npmパッケージのインストール処理が始まる直前に自動実行されるスクリプトの仕組み。本来は事前準備のための機能だが、悪用されると利用者のマシン上で任意コードが実行される。
SLSA(Supply-chain Levels for Software Artifacts)
ソフトウェア成果物のサプライチェーン整合性を保証するためのセキュリティフレームワーク。「どこで・どうやってビルドされたか」をプロベナンス(来歴情報)として証明する。
Sigstore(シグストア)
オープンソース成果物への電子署名と検証を簡易化するための公開基盤。短命の証明書を発行することでアーティファクトの真正性を担保する仕組み。
OIDCトークン(OpenID Connectトークン)
CI/CDパイプライン等が自身の身元を証明するために使う一時的な認証トークン。攻撃者がこれを横取りすることで、正規CIになりすました署名が可能になる。
ブラストラディウス(Blast Radius)
ある侵害事案が及ぼす被害範囲を表すセキュリティ用語。直訳は「爆風半径」。
C&C(Command and Control)インフラ
マルウェアが攻撃者と通信し、指令を受け取ったり盗んだデータを送ったりするためのサーバー基盤。指令制御サーバーとも呼ばれる。
TeamPCP
今回のキャンペーンの背後にいるとされる金銭目的の脅威アクター。2025年以降、Shai-Hulud系キャンペーンとの関連が指摘されており、npm、PyPI、GitHub Actions、Docker Hub、OpenVSXなど複数のエコシステムを横断的に標的としている。
インポスターコミット(Imposter Commits)
GitHubリポジトリの正規の履歴(ブランチやタグ)には現れないにもかかわらず、SHAハッシュ値を直接指定すれば外部から取得できてしまう「なりすましコミット」。GitやGitHubがコミットオブジェクトを保管する仕組みの特性を悪用した手法である。
BreachForums
ハッキング情報や盗難データの取引で知られる地下フォーラム。今回TeamPCPと共同で「サプライチェーン攻撃コンテスト」を主催したとされる。
【参考リンク】
Socket(外部)
npmなどオープンソースパッケージのリアルタイム脅威検知を専門とするセキュリティ企業。
SafeDep(外部)
オープンソースサプライチェーンセキュリティを手がけるプラットフォーム企業。
StepSecurity(外部)
GitHub Actionsを中心としたCI/CDパイプラインのセキュリティ強化を提供する企業。
Endor Labs(外部)
ソフトウェアサプライチェーンセキュリティとSBOM管理を専門とする米国企業。
Datadog Security Labs(外部)
クラウド監視大手Datadogのセキュリティ研究部門で脅威分析を公開している。
OX Security(外部)
AppSec(アプリケーションセキュリティ)プラットフォームを提供するイスラエル発の企業。
ReversingLabs(外部)
ソフトウェアサプライチェーンセキュリティと脅威インテリジェンスを提供する米国企業。
AntV(アントグループ)(外部)
アリババ傘下のアントグループが開発・公開するデータ可視化ライブラリ群の公式サイト。
npm公式(外部)
JavaScriptパッケージレジストリの本家。GitHubを通じてMicrosoftが運営する。
SLSAフレームワーク公式(外部)
ソフトウェアサプライチェーン整合性のための標準フレームワークの公式サイト。
【参考記事】
Active Supply Chain Attack Compromises @antv Packages on npm(Socket)(外部)
Socketによる一次レポート。639バージョン・323パッケージの侵害と検知中央値6.7分を記録。
Mini Shai-Hulud Strikes Again: 317 npm Packages Compromised(SafeDep)(外部)
22分間で317パッケージ637バージョンがバースト公開された経緯を技術的に詳述。
Shai-Hulud: Here We Go Again(StepSecurity)(外部)
GitHub上の2,200超リポジトリ群とDune由来命名規則のマーカーを詳述。
Shai-Hulud Goes Open Source(Datadog Security Labs)(外部)
2026年5月12日のTeamPCPソースコード公開を確認し、OIDC悪用などの技術的影響を分析。
TeamPCP Ups the Game, Releases Shai-Hulud Worm’s Source Code(SecurityWeek)(外部)
ソースコード公開とBreachForumsコンテストの背景、コピーキャット拡散の懸念を取材。
Shai-Hulud Code Drop: Open Season for Supply Chain Attacks(ReversingLabs)(外部)
専門家コメントを引用し、サプライチェーン攻撃活動量の持続的増加を警告する分析記事。
【関連記事】
OpenAI、TanStack npmサプライチェーン攻撃で社員端末2台が侵害—macOS版ChatGPT等は6月12日までに更新必須
2026年5月のTanStack波でOpenAI社員端末2台が侵害された事案。AntV波の直前にあたる同キャンペーンの先行ケース。
「信頼できるパッケージ」が崩壊?Shai-Hulud 2.0が示すnpmサプライチェーン攻撃の新段階
2025年11月のShai-Hulud 2.0キャンペーン解説。700超のnpmパッケージと25,000超のGitHubリポジトリが侵害された前哨戦。
セキュリティツールが凶器になる日—TeamPCPによるTrivy・LiteLLM侵害の全容
2026年3月のTrivy・LiteLLM侵害事案。今回のAntV波と同じ脅威アクターTeamPCPの過去事例として位置づけられる。
npm史上最大のサプライチェーン攻撃:chalk・debug等18パッケージ侵害で週間26億DL影響
2025年9月のnpmフィッシング起因の大規模侵害事案。Shai-Hulud系譜の文脈で参照される基礎ケース。
【編集部後記】
普段なにげなく npm install を実行している瞬間、その先には世界中の開発者の手が連なっています。今回の事案は、その「信頼の連鎖」が攻撃者にとって最も狙いやすい場所でもあることを示しました。
みなさんがふだん使っているライブラリの依存関係、最後に確認したのはいつでしょうか。ロックファイルを一度のぞくと、見覚えのないパッケージ名が並んでいるかもしれません。みなさんはこの問題とどう向き合っていきますか。
