Shai-Huludの悪夢再び:800件のnpmパッケージが感染し、シークレットがGitHub上に流出 | Codebook|Security NewsBleepingComputer – November 24, 2025 2025年9月に発覚し、セキュリティ業界に大きな衝撃を与えた自己伝播型サプライチェーンキャンペーン「Shai-Hulud」。その「第2弾」と思われる新たな攻撃キャンペーンにより、ZapierやENS Domains、PostHog、Postmanなどを含む人気npmパッケージの多数のバージョンがマルウェアに感染したという。Aikido、Wiz、StepSecurityなど複数のセキュリティ企業がこの攻撃について報告している。 Shai-Huludは自己複製型のnpmワームで、侵害された開発者環境を通じて急速に拡散する。システムに感染した同マルウェアはシークレットスキャナーTruffleHogを使ってAPIキーやトークンなどのシークレットを探索し、見つかったものを感染者自身の公開GitHubリポジトリにアップ。その後、
