何が起きたか
Shai-Hulud/Miasma サプライチェーン キャンペーンの Hades 波(UNC6780/TeamPCP に属する)は、2026 年 6 月 8 日に 26 以上の PyPI パッケージを改ざんし、特に AI/ML およびバイオインフォマティクス ツールを標的としました。このキャンペーンでは LLM スキャナー回避(AI ベースのトリアージ ツールを標的とするペイロード内のプロンプト インジェクション)および認証情報削除抑止策(盗まれた認証情報がローテーションされた場合に破壊的なアクションを脅迫するデーモン)が導入されました。このワームは MCP サーバー設定、Anthropic/OpenAI API キー、AI コーディング エージェント トークンを含む AI 固有の認証情報を標的としています。langchain-core-mcp タイポスクワットは悪質なパッケージの 1 つであり、LangChain ユーザーを直接標的としています。Zscaler ThreatLabz の分析(検証済みの完全テキスト)では、2025 年 9 月の V1 から 2026 年 6 月の IDE および PyPI 波までのキャンペーンの進化を文書化しており、ソースコードは 2026 年 5 月 12 日に MIT ライセンスの下で公開されました。これにより、再利用可能な攻撃インフラストラクチャへと変わりました。
なぜ重要か
このキャンペーンは、現在まで観測されている AI エコシステム サプライチェーン攻撃の中で最も高度なものです。AI 開発者とそのツールを直接標的とし、最先端モデルへのアクセスを制御する AI API キーおよびモデル プロバイダー認証情報を窃取しています。LLM スキャナー回避技術(悪質なペイロード内にプロンプト インジェクションを埋め込み、AI ベースのセキュリティ アナライザーを騙す)は、新規で懸念される段階的な強化であり、AI 支援セキュリティ ツールの有効性を損なわせます。ワイパー デーモンはインシデント対応プレイブックを反転させます。ワーム ソースコードの公開 MIT リリースにより、あらゆる脅威アクターがこのキャンペーンを実行できるようになりました。
攻撃経路
改ざんされたパッケージは *-setup.pth ファイルを配布し、Python インタープリターの起動時(インポートの前)に実行されます。このフックは GitHub から Bun JavaScript ランタイムをダウンロードし、難読化された _index.js ペイロードを実行します。そのペイロードは、プロセス メモリ(Linux 上の /proc/{pid}/mem、macOS 上の Mach API、Windows 上の ReadProcessMemory 経由)を読み取り、14 の AI/クラウド/DevOps システム全体で認証情報を窃取します。窃取されたデータは AES-256-GCM + RSA-2048 で暗号化され、攻撃者が管理する GitHub リポジトリに流出されます。「gh-token-monitor」永続性デーモンは、盗まれたトークンがローテーションされた場合に破壊的なアクションを脅迫します。ペイロードにはプロンプト インジェクション テキストが埋め込まれ、LLM ベースのセキュリティ スキャナーを回避します。
影響を受けるシステム
バイオインフォマティクス、グラフ ML、および深層学習ツール全体で 26 以上の PyPI パッケージ(langchain-core-mcp タイポスクワットを含む)、任意の OS 上の Python 環境、CI/CD パイプライン
緩和策
未知のソースからの *-setup.pth ファイルについて Python 環境を監査してください。インストール済みパッケージを IOC リストと照合してください(embiggen、ensmallen、gpsea、langchain-core-mcp、rsquests、tlask、rlask、その他)。認証情報をローテーションする前に影響を受けたシステムを隔離して、ワイパー デーモンをトリガーすることを回避してください。パッケージを検証済みハッシュに固定してください。stygian-cerberus-* および tartarean-charon-* GitHub リポジトリ名(C2 流出リポジトリ)を監視してください。