The Hacker Newsは6月9日(現地時間)、「Microsoft Restores Some GitHub Repos, Keeps Others Offline as Miasma Probe Continues」において、最近発生したノードパッケージマネージャー(npm: Node Package Manager)のサプライチェーン攻撃の影響で、Microsoftが管理する一部のGitHubリポジトリが侵害されたと報じた。

攻撃チェーンの発端となったインシデントについては、Microsoft脅威インテリジェンスチームが調査結果を報告していた。しかし、その後も攻撃は拡大し、Microsoftが管理するオープンソースプロジェクト73件が侵害されたことが明らかになった。

Miasma攻撃とは

Microsoftの報告によると、発端となったインシデントで侵害されたnpmパッケージは「@redhat-cloud-services」に含まれる次の32パッケージとされる。なお、これらパッケージには識別マーカーとして正規の署名「Miasma: The Spreading Blight」が埋め込まれており、この特徴からこのキャンペーンは「Miasma」と名付けられている。

侵害されたパッケージはtypes、frontend-components、rbac-client、chromeなど計32件に及ぶ。詳細はMicrosoftのレポートに掲載されている。

被害者が侵害されたパッケージをインストールすると高度に難読化されたマルウェアドロッパーが実行され、多段階の侵害経路を経て、最終的に情報窃取マルウェアが展開される。

情報窃取マルウェアはGitHub、npm、Amazon Web Service、Azure、Google Cloud Platform、HashiCorp Vault、Kubernetesの認証情報、標的環境の認証情報(SSHキーを含む)、Webブラウザー情報、ウォレットデータを窃取する。さらにワームとしての機能を持ち、開発者が管理しているパッケージを侵害して拡散を試みる。

マルウェアはLinux、macOS、Windowsの各プラットフォームで動作するが、主な標的はLinuxと推測されている。Microsoftはnpmチームと情報を共有し、影響を受けたリポジトリーの削除と追加の保護を実装したという。

  • Miasmaキャンペーンの侵害経路 - 引用:Microsoft

    Miasmaキャンペーンの侵害経路 - 引用:Microsoft

MicrosoftのGitHubリポジトリ73件が侵害

Miasmaキャンペーンの影響で侵害されたMicrosoftのGitHubリポジトリは合計73件とされる。影響を受けたGitHubアカウントとしてはAzure、Azure-Samples、Microsoft、MicrosoftDocsが確認されている。

Microsoftは対象リポジトリへのアクセスを無効化し、一部を一時的に削除した。その後、調査および復旧作業を進めているが、6月9日時点でも一部の対応は継続中とされる。このため、削除または無効化されたリポジトリへアクセスするとエラーメッセージが表示される場合がある。

また、侵害されたリポジトリからコンテンツをダウンロードした可能性がある顧客には通知が送付された。通知を受け取ったユーザーには、フィッシング詐欺などの二次被害にも注意しながら必要な対策を講じることが求められている。

AIコーディングツールやPyPIにも拡大

Miasmaキャンペーンは現在も進化を続けている。感染が確認されたnpmパッケージは57件に増加し、その後は一部のGitHubリポジトリに悪意のあるコードを直接プッシュする手法も確認された。

この変化により、Claude Code、Gemini CLI、Cursor、VS Code、npmテストスクリプトを利用する開発者は、感染したリポジトリをAIコーディングツールや統合開発環境(IDE)で開くだけで悪意のあるコードが実行される可能性があると報告されている(参考:「Miasma Worm Targets AI Coding Agents via GitHub Repos - Real-time Open Source Software Supply Chain Security」)。

さらに、PyPI(Python Package Index)への感染拡大も報告された。この派生キャンペーンは埋め込まれたマーカーの違いから「Hades」と呼ばれ、侵害されたPythonパッケージに仕込まれた起動フックを利用して情報窃取スクリプトを実行するとされる。

Hadesも進化を続けており、インポート時のスクリプト実行機能の追加や、開発者のOIDC信頼設定を悪用して対象ネットワーク全体へ拡散する機能などが確認されている。

開発者は各セキュリティ企業が公開している侵害インジケーター(IoC)を参考に、自身の環境が影響を受けていないか確認することが望ましい。侵害の可能性がある場合は、マルウェアの除去に加え、各種キーやトークンを含む認証情報の速やかな更新が推奨される。