「シャイ・フルード」として知られるステルスマルウェアキャンペーンが開発者のパイプラインに侵入し、暗号ウォレットやクラウド認証情報に重大な脅威をもたらしています。研究者たちは、NPMおよびPyPIリポジトリ全体で約320の悪意のあるパッケージを特定しており、これらは合計で5億1800万以上の月間ダウンロード数を占めています。このマルウェアは自動化されたツールチェーンを悪用し、信頼されたパッケージやビルドパイプラインに埋め込まれるため、被害が発生するまで検出が困難です。 最近の事例としては、PyPI上のMistral AIパッケージへの悪意のあるコードの挿入や、OpenAIの従業員のデバイス感染があり、一時的に内部コードリポジトリが露出しました。このキャンペーンはサイバー犯罪グループTeamPCPに関連しており、人気のJavaScriptフレームワークであるTanStackも標的にされています。セキュリティ企業は、模倣パッケージが出回っており、クラウドや暗号ウォレットの認証情報を盗み、マシンをDDoSボットネットに勧誘していると報告しています。 専門家は、ブロックチェーンや暗号プロジェクトの攻撃対象には開発者のマシンやCI/CDシステムが含まれると警告しています。推奨される防御策には、依存関係の管理強化、公開時のセキュリティ強化、悪意のあるパッケージの自動スキャンが含まれます。シャイ・フルードキャンペーンは、資金の侵害を防ぐために開発者パイプラインにおける堅牢なセキュリティ対策の必要性を強調しています。