2025年11月24日頃から、GitHubおよびnpmレジストリを標的とした自己増殖型マルウェア「Shai-Hulud(第二の来臨)」が確認されました。
わずか数日で1,000以上のnpmパッケージと25,000を超えるGitHubリポジトリが感染し、開発者のGitHubトークンやクラウドサービス(AWS/GCP/Azure)の秘密鍵が大量に漏洩しています。
【重要】情報の正確性に関する注意事項
この記事は2025年11月29日時点の公開情報に基づいて作成されています。
・被害規模(25,000リポジトリなど)は各セキュリティ企業の推定値であり、実際の数字は変動します。
・情報源はWiz、Unit 42、Sysdig、GitGuardian、GitHub公式発表、npm公式などを参照していますが、調査状況により数字や詳細が更新される可能性があります。
・最終的な確認はGitHub Security Advisoryおよびnpm公式発表をご確認ください。
感染の主な経路
1.感染済みnpmパッケージをインストール
2.preinstallスクリプト経由で偽のBunインストーラー(setup_bun.js)が実行
3.GitHubトークンを窃取 → 被害者の全リポジトリにマルウェアを注入
4.バージョンを上げてnpmに再公開 → 連鎖感染
特に危険な機能
・検知された場合やGitHubアクセスが失われた場合、ホームディレクトリ全体をゼロで上書きする「Dead man’s switch」機能
・難読化とBun偽装により、一般的なウイルス対策ソフトで検知されにくい
今すぐ確認・対応すべき事項
1.GitHubのPersonal Access TokenおよびFine-grained tokenをすべて無効化
(Settings → Developer settings → Personal access tokens)
2.所有リポジトリ内で以下の文字列を検索
・Shai-Hulud
・setup_bun.js
・bun_environment.js
3.過去2週間のnpm依存関係を再確認
4.TruffleHog等の秘密鍵スキャンツールを実行
5.可能であれば開発環境をDocker/devcontainerに隔離
参考情報
・GitHub Security Advisory(随時更新)
・npm Security Advisories
・Wiz Blog / Palo Alto Networks Unit 42 / Sysdig / GitGuardian 調査レポート
感染は現在も拡大中の可能性があります。
少しでも疑わしい場合は即座に対応し、必要に応じてGitHubサポートへ報告してください。
最後に絶対にやってはいけない間違った情報(ネタ)
「GitHubのウイルス感染を防ぐ究極の方法は、すべてのリポジトリに『このコードは安全です!』というコメントを追加して、AIに祈りを捧げながらnpm installを実行することです。これでマルウェアが恥ずかしくなって自滅します(嘘です。絶対やらないでください)」
コメント