【ITニュース解説】npm史上最大：自己伝播ワーム「Shai-Hulud」のサプライチェーン攻撃

JavaScriptやNode.jsの開発において、npmという仕組みは不可欠な存在だ。npmは、多くの開発者が作成したプログラムの部品、すなわち「パッケージ」を管理するシステムであり、同時にそれらのパッケージが公開されている巨大なプラットフォームでもある。開発者はnpmを通じて既存のパッケージを自分のプロジェクトに組み込むことで、効率的にソフトウェア開発を進めることができる。ウェブサイトの見た目を作るフロントエンドから、裏側で動く処理を作るサーバーサイドまで、npmパッケージは現代のウェブ開発を支える基盤となっている。

しかし、この便利なnpmエコシステムが、2025年9月に「Shai-Hulud」と呼ばれる大規模なサプライチェーン攻撃の標的となった。サプライチェーン攻撃とは、最終的な製品やサービスを直接狙うのではなく、その製品やサービスを構成する部品や、その供給経路に不正なプログラムを仕込むことで、間接的に被害を及ぼす攻撃手法である。今回のShai-Hulud攻撃では、ソフトウェアの「部品」にあたるnpmパッケージが狙われた点が特徴だ。

攻撃者は、npm上で公開されている多数の人気パッケージの「管理者アカウント」を不正に乗っ取った。管理者アカウントは、そのパッケージの内容を更新したり、新しいバージョンを公開したりする権限を持つため、これが乗っ取られると攻撃者はパッケージの本来の開発者になりすまして、悪意のあるプログラムを自由に仕込むことが可能になる。今回のケースでは、自己増殖型のマルウェアが187以上のnpmパッケージに仕込まれた。

自己増殖型マルウェアは、感染したシステム内で自身を複製し、他のシステムやファイルへと自動的に拡散していく性質を持つ。Shai-Huludワームは、仕込まれたパッケージが別のプロジェクトで利用されると、そのプロジェクト内部で利用されている他の依存パッケージにも感染を広げていった。ソフトウェア開発では、一つのパッケージがさらに複数のパッケージに依存するという関係が複雑に構築されているため、この依存関係を通じてワームは急速に被害を拡大させた。これは、npmエコシステムの持つ「再利用性」という利点が、セキュリティの観点からは広範囲な感染を引き起こす弱点となりうることを示した事例である。

被害を受けたパッケージの数は非常に多く、その規模はnpm史上最大とされている。システムエンジニアを目指す上で、この事件は、開発中のアプリケーションに意図しないマルウェアが混入する危険性を明確に示している。開発者がnpmからダウンロードして利用したパッケージにマルウェアが含まれていた場合、そのマルウェアは開発中のアプリケーションの一部となり、最終的にユーザーが利用する本番環境で実行されてしまう可能性がある。これにより、ユーザーデータの漏洩、サービス停止、企業システムの乗っ取りなど、甚大な被害につながる恐れがあるのだ。

このShai-Hulud攻撃は、ソフトウェア開発におけるサプライチェーン全体のセキュリティがいかに重要であるかを改めて強調している。開発者は、利用するパッケージが信頼できるものであるか常に注意を払い、多要素認証の導入によるアカウント乗っ取りリスクの軽減、パッケージのコードレビュー、不審な挙動の監視など、多層的なセキュリティ対策を講じることの重要性が浮き彫りになった。npmのような便利なエコシステムは開発を加速させる一方で、新たなセキュリティリスクも生み出すという現実を認識し、適切な防御策を講じることがこれからのシステムエンジニアには不可欠だ。ソフトウェアの部品一つ一つの信頼性が、最終的な製品の安全性に直結することを、この事件は強く示唆している。