バージョン 2026.4.0 広く使われている @bitwarden/cli npmパッケージ(週間ダウンロード数78,000件)が悪意のあるものと特定されました。このパッケージには、自身を明示的に名指しする、高度な多段階型の認証情報窃取ワームが含まれています 『シャイ・ハルド:第三の到来』、~への直接的な言及 過去のシャイ・ハルドのサプライチェーン・キャンペーン、そしてSSHキーやシークレット、さらにはMCP設定ファイルなど、開発者の認証情報を標的としています。
これは、Docker HubのプロジェクトやVS Codeの拡張機能を含むCheckmarxへの最近の侵害事件の直後に発生したものです。その攻撃キャンペーン中に得られたアクセス権が、Bitwardenのパブリッシングパイプラインを侵害するために悪用された可能性があると見られています。特に注目すべきは、攻撃者がCI/CD 感染させることで、Bitwardenの信頼されたパブリッシング制御を迂回したようであるという点です(publish-ci.yml において github.com/bitwarden/clients)、これにより、悪意のあるパッケージが正当な @bitwarden 名前。
何が起きたのか
@bitwarden/cli@2026.4.0 悪意のある preinstall 新しいファイルを指すフック bw_setup.js. これは自動的に実行されます npm install ユーザーの操作を必要とせずに。
ステージ1: bw_setup.js
クロスプラットフォーム対応のブートストラッパー。被害者のOSとアーキテクチャを検出し、正規のBun JavaScriptランタイムを直接 github.com/oven-sh/bun、そしてこれを利用してステージ2のペイロードを実行する。
ステージ2: bw1.js
10MBの高度に難読化されたペイロードである。難読化を解除すると、これはあらゆる機能を備えた認証情報収集ツール兼サプライチェーンワームであることが判明する。その動作は過去のShai-Huludの攻撃波と酷似しており、盗んだデータを流出させるために作成される公開GitHubリポジトリの説明欄には、「Shai-Hulud: The Third Coming」という文字列がハードコードされている。
このバージョンは、随所に『デューン』の世界観を色濃く反映しています。エクスフィル・リポジトリの名前は、『デューン』の用語をランダムに組み合わせたものです(フレメン・サンドワーム-441, ハーコネン・メランジュ-7など)であり、ペイロードにはAI反対のマニフェストが埋め込まれており、これを被害者のシェル設定ファイルに書き込もうとする。
それが奪うもの
このマルウェアは、被害者のマシン上に存在する、高価値な認証情報ファイルのハードコードされたリストをスキャンします:
~/.ssh/id* / ~/.ssh/id_ (SSH秘密鍵)
~/.ssh/known_hosts (SSHホストのフィンガープリント)
~/.ssh/keys (追加のSSH鍵の保存場所)
~/.aws/credentials (AWS アクセスキー)
~/.config/gcloud/credentials.db (GCP 認証情報)
~/.npmrc / .npmrc (npm 認証トークン)
~/.claude.json / .claude.json (Claude Code 認証トークン)
~/.claude/mcp.json (Claude Code MCP サーバー設定。API DB 認証情報が含まれる場合があります)
~/.kiro/settings/mcp.json (Kiro MCPサーバーの設定)
.git/config (GitのリモートURLと認証情報)
.git-credentials (保存されたGitパスワード)
.env (プロジェクトの環境変数およびAPI )
~/.bash_history / ~/.zsh_historyローカルファイルに加え、このマルウェアは、クラウド環境の認証情報を利用して、AWS SSM Parameter Store、AWSシークレット 、Azure Key Vault、および GCP Secret Manager 向けのデータ収集ツールも実行します。クラウドに接続された開発用マシンや CI ランナー上でこれを実行すると、シークレット 全体が失われることになります。
このマルウェアは、2つのC2 URLに接続します:
hxxps://audit.checkmarx[.]cx/v1/telemetry— プライマリ C2、すべての感染先に直接アクセス。Checkmarxの正規ドメインではありません;.cxこれはクリスマス島のTLDです。直ちにブロックしてください。hxxps://api.github[.]com/search/commits?q=beautifulcastle%20— フォールバック。プライマリC2がダウンしている場合、マルウェアはこれらのGitHubコミットから署名付き代替ホスト名を検索します。
シャイ・フルードの繁殖
Shai-Huludに類似した拡散の痕跡を確認しました。盗み出されたデータは、被害者自身のアカウントで作成された公開GitHubリポジトリに流出されます。組織メンバーシップを持たない被害者の場合、そのGitHubトークンも公開されたGitHubコミットのデッドドロップに公開され、他の感染マシンがそれを発見して再利用し、自身のデータ流出に利用することが可能です。一方、組織メンバーシップを持つ被害者のトークンは、暗号化された流出データ内でのみ非公開に保持されます。
方法 Aikido これをどのように検知するか
もしあなたが Aikido ユーザーの方は、中央フィードを確認し、マルウェア関連の問題でフィルタリングしてください。これにより、100/100の重大な問題として表示されます。 Aikido は毎晩自動的に再スキャンを行いますが、今すぐ手動で再スキャンを実行することをお勧めします。
まだ会員でない場合は Aikido をご利用でない場合は、アカウントを作成してリポジトリを連携できます。マルウェア対策機能は無料プランに含まれており、クレジットカードは不要です。
チーム全体をより広くカバーするには、 Aikidoの「エンドポイント保護」は、チームのデバイスにインストールされたソフトウェアパッケージを可視化し、管理することを可能にします。ブラウザ拡張機能、コードライブラリ、IDEプラグイン、依存関係、すべてを一元管理できます。マルウェアがインストールされる前に阻止しましょう。
将来的なセキュリティ対策として、オープンソースの「Aikido Chain」の導入をご検討ください。Safe Chainは既存のワークフローに組み込まれ、npm、npx、yarn、pnpm、pnpxの各コマンドをインターセプトし、インストール前にAikido データベースと照合してパッケージを検証します。
IOCs
- パッケージ:
@bitwarden/cli(バージョン 2026.4.0) - 事前インストール用ファイル:bw_setup.js
- SHA256:
37f34aa3b86db6898065f3ca886031978580a15251f2576f6d24c3b778907336
- SHA256:
- ペイロードファイル:bw1.js
- SHA256:
18f784b3bc9a0bcdcb1a8d7f51bc5f54323fc40cbd874119354ab609bef6e4cb
- SHA256:
- GitHubリポジトリの説明:
シャイ・ハルド:第三の到来 - 情報流出の終端点:
audit.checkmarx[.]cx:443/v1/telemetry - 「」で始まる公開コミットメッセージ
機械に対する抵抗万歳
