マロウシ：GitHubのGrafanaイベントは、Mini Shai-Huludのサプライチェーン攻撃に関連している

SlowMist（スローミスト）は5月20日、X上で脅威情報を公開し、「Mini Shai-Hulud（ミニ・シャイ＝フルード）」によるサプライチェーン攻撃の確認として、複数の高頻度npmパッケージと、Python SDKのdurabletaskの複数バージョンが侵害を受けたことを報告しました。SlowMistは同時に、5月16日のGrafana Labsによるランサムウェア攻撃は「可能性が高い」ことから、このサプライチェーン攻撃と関連していると述べています。

攻撃のタイムラインと影響を受けたコンポーネント

（出典：SlowMist）

SlowMistが脅威情報として確認した攻撃のタイムラインは以下のとおりです：

2026年5月19日：npmアカウントatool（i@hust.cc）が侵害され、攻撃者は22分以内に、317個のパッケージで計637個の悪意あるバージョンを自動公開し、AntVやEcharts-for-reactなど、npmエコシステム内の高頻度コンポーネントに影響が及びました。

2026年5月20日北京時間00:19〜00:54：攻撃者は35分の間にdurabletaskのバージョン1.4.1（00:19）、1.4.2（00:49）、1.4.3（00:54）を連続してアップロードし、Microsoft公式のリリース制御を回避して、Microsoftの通常リリースを装いました。

SlowMistは、攻撃者の標的が、感染したnpmおよびPythonパッケージに加えて、開発者の認証情報と鍵（GitHub PAT、npm Token、AWS 金鑰、Kubernetes Secret、Vault Token、SSH 金鑰、ならびに90種類以上のローカルの機密ファイル）および、漏えいしたトークンによってアクセスされ得る内部コードリポジトリにまで及ぶことを確認しています。

GitHubトークン漏えいとGrafana事象との確認された関連

SlowMistは脅威情報の中で、このサプライチェーン攻撃と関連するとされる2件の事象について説明しています：

GitHubトークンの大規模な漏えい：SlowMistは「証拠により、一部の漏えいしたトークンが、公式のGitHubコードリポジトリへのアクセスに使用され、その後売却された可能性がある」と述べています。GitHub公式は、今回の漏えいの原因が、社員の端末に感染したVS Code拡張機能が導入されていたことだと確認済みです。

Grafana Labs攻撃（2026年5月16日）：SlowMistは、サイバー犯罪グループが無断でGrafana LabsのGitHubコードリポジトリにアクセスし、コードをダウンロードしたうえで、データ漏えいを脅迫材料としてランサム要求を行ったことを確認しています。

SlowMistは同時に、攻撃者の潜在的な行動パターンも説明しています：クラウドおよびローカルの認証情報の窃取、内部リポジトリおよび機密のクラウド基盤への無断アクセス、開発者の端末とCI/CDパイプライン間での横方向への移動、漏えいしたGitHubトークンの販売。

SlowMistが推奨する確認・緩和措置

SlowMistの公式推奨に基づくと：

直ちにローテーション：露出したすべてのGitHub、npm、PyPI、およびクラウドの認証情報

影響を受けたパッケージの置き換え：影響を受けたnpm/PyPIパッケージを、検証済みの安全なバージョンに置き換えるか、依存関係のバージョンを凍結する

システムの隔離：侵害の可能性があるシステムを隔離し、監査を実施して、認証情報の盗難や横方向移動を防ぐ

依存関係の確認：ロックファイル（package-lock.json、yarn.lock、requirements.txtなど）に影響を受けたバージョンが含まれていないか確認する

異常な活動の監視：GitHubおよびクラウドの活動を監視し、不審な認証イベントやトークン漏えいの兆候を探す

よくある質問

どのパッケージがMini Shai-Huludの攻撃の影響を受けたと確認されていますか？

SlowMistの脅威情報によれば、影響を受けたパッケージにはnpmエコシステム内のAntVやEcharts-for-reactなどの高頻度コンポーネント、ならびにPythonパッケージdurabletaskの1.4.1、1.4.2、1.4.3の各バージョンが含まれます。SlowMistは、新たな悪意あるバージョンの公開があるかどうかを継続して追跡するとしています。

SlowMistは、GitHubトークンの漏えいがこのサプライチェーン攻撃と関連しているとどのように判断しましたか？

SlowMistの判断は脅威情報の分析に基づき、「非常に可能性が高い」（絶対的な確定ではない）と評価しています。根拠は、一部の漏えいしたトークンがGitHubコードリポジトリへのアクセスに使われた可能性があることです。GitHub公式も、社員の端末が悪意あるVS Code拡張機能に侵害された事実を独自に確認しています。

開発者は、自分のプロジェクトが影響を受けたバージョンを使っているかを素早く確認するにはどうすればよいですか？

SlowMistの推奨によると、以下のコマンドで確認できます：npmパッケージは npm ls --all で確認します；Pythonパッケージは pip show durabletask でバージョン番号を確認します；同時にロックファイル（package-lock.json、yarn.lock、requirements.txtなど）に影響を受けた悪意あるバージョンが含まれていないか確認してください。