以下は 400字以内の要約 です。

2025年11月、Shai-Hulud ワーム（v2）がバックドア化されたNPMパッケージを通じ拡散し、約1,000パッケージと25,000超のGitHubリポジトリの認証情報が漏えいした。

新バージョンは preinstall フェーズで実行され、Bun を利用して約10MBの難読化コードを展開し、NPMトークンやGitHub認証情報、クラウドシークレットを窃取する。

さらに、被害端末に攻撃者が制御するGitHub Actionsランナーを密かに導入し、ワークフローを悪用して任意コード実行と継続的な情報流出を可能にする。

NPMトークンがない場合はホームディレクトリ内の書き込み可能ファイルを削除する破壊機能も持つ。

Sysdig の検知ルールにより、NPM install に伴う不審なネットワーク接続や bun_environment.js 実行を検知可能。影響を受けたユーザーはパッケージの除去・再構築、キャッシュ消去、全認証情報のローテーション、GitHub/CIの不正リポジトリやワークフローの確認が推奨される。