何が起きたか
SecurityWeek は 2026 年 6 月 9 日、新しい Shai-Hulud バリアント(6 月 1~3 日から npm をターゲットにする Miasma、および PyPI をターゲットにする Hades/Mini Shai-Hulud)が両方のエコシステム全体で 100+ パッケージを侵害したと報告しました。Miasma が Azure の durabletask プロジェクトを再び侵害した後、GitHub は 6 月 5 日に 73 個の Microsoft リポジトリ(Azure、Azure-Samples、MicrosoftDocs、Microsoft オーガナイゼーション)を無効化しました。PyPI Hades バリアントは 19 個のパッケージ全体で 37 個の悪意のあるホイールファイルを独立して侵害しました。確認済みの AI 関連の侵害パッケージには mistralai Python SDK および guardrails-ai が含まれます。このキャンペーンは npm トークンの失効によってトリガーされる破壊的な自己破壊/ワイプルーチンを使用し、修復を試みるメンテナに対して実質的にランサムウェアとして機能します。
なぜ重要か
これは AI 開発者サプライチェーンへの直接的な攻撃です:AI SDK パッケージ(mistralai、guardrails-ai)が侵害され、AI ツール認証情報が特別にターゲットにされ、新規の永続化メカニズムが AI コーディングエージェント(Claude Code SessionStart フック)の信頼モデルを悪用して標準的な修復を生き残ります。盗まれた認証情報には AWS、GCP、Azure、GitHub、npm、Kubernetes、Vault トークン、および AI サービス API キーが含まれます。有効な SLSA Build Level 3 の Provenance を使用した worm は、標準的なサプライチェーン認証チェックを通じて検出することを極めて困難にしています。
攻撃経路
自己複製型サプライチェーン worm は preinstall/postinstall npm ライフサイクルフック(および Miasma wave の「Phantom Gyp」binding.gyp)を使用してインストール時に Bun ベースの認証情報スティーラーを実行します。worm は /proc/{pid}/mem をスクレイプしてすべての CI/CD シークレットを抽出し、AI ツールトークンを含む 100+ の認証情報タイプを収集し、その後侵害されたメンテナによって制御されるすべてのパッケージの中毒バージョンを再発行します。永続化は .claude/settings.json への SessionStart フック注入と .vscode/tasks.json へのfolderOpen タスク注入によって達成されます — node_modules ではなくプロジェクト設定に存在するため、パッケージ削除後も生き残ります。
影響を受けるシステム
npm および PyPI パッケージ — 確認済みの侵害パッケージには mistralai(2.4.6)、guardrails-ai(0.10.1)、@tanstack/*(42 パッケージにわたる 84 の悪意のあるバージョン)、@redhat-cloud-services(32 パッケージ、96 バージョン)、@vapi-ai/server-sdk、およびその他が含まれます;Claude Code ~/.claude/settings.json フックおよび開発者マシン上の VS Code .vscode/tasks.json への永続化
緩和策
すべての npm/PyPI 依存関係を侵害されたバージョンについて監査します;影響を受けた任意の CI/CD ワークフローに存在するすべてのシークレットをローテーションします;クローンされたすべてのリポジトリ内の .claude/ および .vscode/tasks.json を任意の AI コーディングエージェントで開く前に監査します;mistralai 2.4.6 および guardrails-ai 0.10.1 のすべてのインストールが侵害されたと見なします;「IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner」npm トークン説明を確認します;完全な IOC リストについて StepSecurity、Snyk、および Sonatype アドバイザリを確認します。