Slow Mistの脅威インテリジェンスによると、「Mini Shai-Hulud」として知られる大規模なサプライチェーン攻撃が最近、npmアカウントatoolを侵害し、22分の間に317のパッケージ内へ637個の悪意あるバージョンを展開しました。AntVやEcharts-for-reactといった高頻度のパッケージに加え、Python SDKのdurabletaskバージョン1.4.1、1.4.2、1.4.3が影響を受けており、これらは公式のMicrosoftリリースであるかのように偽って公開されていました。
この攻撃により、不正なクレデンシャルへのアクセス、社内リポジトリ、機密のクラウド基盤への侵入が可能になり、開発者の端末やCI/CDパイプラインへの横方向の移動が起こり得ます。GitHubトークンの漏えいおよびGrafana Labsの直近のランサムウェア被害は、このキャンペーンと関連している可能性が高いです。Slow Mistは、直ちに露出したクレデンシャルをローテーションし、影響を受けたパッケージを置き換え、潜在的に侵害されたシステムを隔離し、厳格な依存関係のレビュー方針を導入することを推奨しています。
