Trivy侵害から24時間、npmエコシステム全域へ拡散

オープンソースセキュリティスキャナーTrivyが侵害されてから24時間も経たないうちに、同じ攻撃者グループがnpmパッケージエコシステム全般を狙った自己増殖型ワーム(worm)攻撃を実行しました。Aikido Securityの研究チームが2026年3月20日に発見したこのマルウェアは、最低47個のnpmパッケージを感染させ、Internet Computer Protocol(ICP)ブロックチェーンのCanister(キャニスター)をコマンド&コントロール(C2)インフラとして活用した初の事例として記録されました。

CanisterWormと命名されたこのワームは、感染したシステムからnpmトークンを窃取した後、被害者がアクセス権限を持つすべてのパッケージに悪性コードを自動的に再配布する方式で動作します。従来のサーバーベースC2を遮断する防御手法では、ブロックチェーンベースのペイロード交換を防ぐことができないため、セキュリティコミュニティに新たな課題をもたらしました。

TeamPCP、Trivy侵害に続く連鎖攻撃

今回のCanisterWorm攻撃は、3月19日に発生したTrivyリリースパイプライン侵害事件の直接的な後続攻撃と評価されています。Wizの詳細レポートによると、TeamPCPとして知られる脅威アクターグループは、Aqua Securityの脆弱性スキャナーTrivyの公式バイナリとGitHub Actionsに認証情報窃取マルウェアを注入しました。

Trivyは、コンテナイメージ、ファイルシステム、Gitリポジトリなどをスキャンするオープンソースセキュリティツールとして、世界中の開発者がCI/CDパイプラインで広く使用しています。このような信頼されたツールのサプライチェーン侵害は、広範な二次被害につながる可能性があり懸念を引き起こしています。

攻撃メカニズム:postinstallから自己増殖まで

Aikido Securityが公開した技術分析によると、CanisterWormは次のような段階で動作します:

第1段階:初期侵入

• postinstallフックを通じてnpm install時に自動実行
• Base64でエンコードされたsystemdバックドアペイロードをインストール
• Python標準ライブラリのみを使用し、追加インストールなしで動作

第2段階:認証情報窃取

• 感染したシステムからnpmトークンを収集
• Trivy攻撃で使用されたsysmon.pyと類似したバックドアを活用
• 現在はC2がリックロール(Rickroll)YouTubeビデオを返すが、いつでも実際の悪性ペイロードに切り替え可能

第3段階:自己増殖(バージョン1.8.11-1.8.12アップグレード以降)

• 初期バージョンでは攻撃者が手動でdeploy.jsを実行する必要があった
• @teale.io/eslint-configバージョン1.8.11および1.8.12(3月20日21:16-21:21 UTC)から完全自動化
• 窃取したトークンでアクセス可能なすべてのパッケージに悪性コードを自動配布
• 難読化の試みなしに「vibecoded」スタイルで作成されたシンプルな構造

ブロックチェーンC2:新たな防御課題

今回の攻撃で最も注目すべき技術的革新は、ICPブロックチェーンの改ざん防止スマートコントラクトであるキャニスターをC2デッドドロップ(dead-drop)として使用した点です。研究者たちは、これをnpm攻撃キャンペーンで観察された初の事例と評価しています。

従来のC2サーバーは、ドメインブロック、IPブラックリスト、DNSシンクホールなどの方法で無力化できました。しかし、ブロックチェーンベースC2は分散台帳の特性上、単一ポイントのブロックが不可能であり、攻撃者はいつでもキャニスターに保存されたペイロードを更新できるため、防御がはるかに困難です。

感染したパッケージリスト(一部)

現在まで確認された主な感染パッケージ:

• @emilgroupwave(初期発見)
• @teale.io/eslint-config(バージョン1.8.11、1.8.12 - 自己増殖アップグレード)
• その他45個以上のパッケージ(完全なリストはAikido Securityレポート参照)

開発者セキュリティコミュニティの対応

今回の事件は、オープンソースサプライチェーンセキュリティの脆弱性を改めて実証しました。npmレジストリは数百万個のパッケージをホスティングしており、たった1つの侵害されたパッケージでも数千のダウンストリームプロジェクトに影響を与える可能性があります。

専門家は次のような即座の対応を推奨しています:

• 最近48時間以内にインストールしたnpmパッケージを確認
• npmトークンを直ちに交換し、権限を監査
• postinstallフック実行前にパッケージの整合性を検証
• Trivyユーザーは公式バイナリを再ダウンロードし、整合性検証が必須

[AI分析] サプライチェーン攻撃の進化と展望

CanisterWormは、サプライチェーン攻撃の2つの重要な進化を示しています。

第一に、信頼されたセキュリティツール自体が攻撃ベクトルになる皮肉です。Trivyは脆弱性を見つけるためのツールですが、そのツール自体が侵害されることで、数多くの組織のCI/CDパイプラインが危険に晒されました。これは、セキュリティツールのサプライチェーン検証がいかに重要かを示唆しています。

第二に、ブロックチェーンをC2インフラとして活用する手法の登場は、防御者に新たな難題を提示します。ブロックチェーンの分散性と不変性は、本来セキュリティ強化のための特性ですが、攻撃者はこれを逆に活用してブロック不可能なC2を構築しました。今後、類似した手法が他のブロックチェーンプラットフォーム(Ethereum、Solanaなど)でも試みられる可能性が高いです。

自己増殖ワームの完全自動化(バージョン1.8.11以降)は、攻撃者が初期侵入後、最小限の介入で被害規模を最大化できることを意味します。これは、npmエコシステムの相互依存性が高いほど、ワームの拡散速度が指数関数的に増加する可能性があることを示しています。

開発者コミュニティは、依存関係ツリー分析、SBOM(Software Bill of Materials)自動生成、サンドボックス環境でのパッケージ事前検証など、多層防御体系を強化する必要があります。また、npmのような中央リポジトリは、postinstallスクリプトのような高リスク機能に対する追加検証ステップの導入を検討する必要があります。