何が起きたか
Socket Threat Research(2026年6月16日公開)が npm パッケージ shai_hulululud@1.0.48596 を分析し、従来のペイロードを実行するのではなく AI 支援マルウェアスキャナーを回避するために目的を持って構築されたことを発見しました。パッケージは大規模な index.js を出荷していて以下を含みます:(1) LLM ベースのスキャナーを操作するためにソースコードコメントに埋め込まれたポリシートリガーコンテンツと偽のシステムオーバーライド命令、(2) スキャナーのコンテキストウィンドウをフラッディングしてトークン予算を使い果たすために何万行も繰り返されたコメント行、(3) ファイル末尾に追加された非常に難読化された JavaScript。Socket はパッケージを抗議ウェアまたは対抗テストケースと評価しましたが、認証情報盗難マルウェアではなく、この手法は本当に悪質なペイロードを AI 駆動セキュリティレビューパイプラインから隠すためにより能力のある脅威アクターによって直接採用可能であることを明確に警告しました。
なぜ重要か
これは検出メカニズムではなくターゲットとして AI ベースのマルウェアスキャナーを明示的に攻撃するように設計された最初に公開された npm パッケージです。AI 支援コードレビューおよびサプライチェーンスキャンが標準化される(GitHub Copilot、Socket、Snyk、および同様のツールに統合される)と、スキャナー回避をマスターする対抗者は自動化 AI レビューを通過する悪質なパッケージを配信できます。この手法は以前に AI/ML 開発者を対象とした認証情報盗難マルウェアを配信した広いShai-Hulud/Miasma/Hades キャンペーンファミリーに直接関連しています。
攻撃経路
攻撃者は npm パッケージを公開し、プロンプトインジェクション命令とコンテキストフラッディングコメントをソースコードに埋め込んで LLM ベースのスキャナーを操作または無効化し、難読化された悪質な JavaScript が自動化 AI セキュリティレビューを検出されずに通過できるようにします。
影響を受けるシステム
LLM をコードレビューに使用する AI 駆動マルウェアスキャナー/サプライチェーンセキュリティツール(Socket、GitHub Copilot セキュリティ機能、Snyk AI レビューなど)。AI 支援レビューが信頼されるあらゆる npm パッケージエコシステム。
緩和策
npm パッケージ審査に AI 支援スキャニング単独に依存しないでください。静的 AST 分析と動作サンドボックスと組み合わせてください。Socket がパッケージにフラグを立てブロックしました。Socket ブログを参照してください:https://socket.dev/blog/npm-package-uses-prompt-injection-and-token-flooding-to-disrupt-ai-malware-scanners