AI が生成した悪意の npm パッケージ:誤って攻撃者の GitHub トークンを露出

AI-Generated npm Malware Leaks Hacker’s Private GitHub Token

2026/05/28 gbhackers — 新たに発見された悪意の npm パッケージが、攻撃者自身のプライベート GitHub トークンを誤って露出させたことで、サイバーセキュリティ・コミュニティの注目を集めている。OX Security の研究者が特定したパッケージ “mouse5212-super-formatter” は、正規の開発ユーティリティを装いながら、侵害されたシステムから機密性の高いファイルを秘密裏に外部送信するインフォスティーラーとして動作する。

このパッケージは、すでに 676 回もダウンロードされており、報告時点でも npm 上で公開状態にある。低コストで効果的な、サプライチェーン攻撃の増加傾向を示す事例である。

Technical Analysis (Source : Ox).
Technical Analysis (Source : Ox).

この攻撃者のオペレーションミスにより、リポジトリが削除される前の実際のデータ窃取セッションが観測され、データ流出インフラに対する可視性が得られた。

AI 生成 npm マルウェア

OX Security のレポートによると、この AI により生成された悪意のパッケージは、内部用の “archive deployment sync” ツールを装うものであり、表面上は GitHub リポジトリの検証や基本的なネットワーク診断を行うように見えるが、実際の機能は侵害を目的とするものだ。

インストール後のフェーズにおけるマルウェアは、コード内にハードコードされたフォールバック・トークンや環境変数トークンを用いて、GitHub に対して認証を行う。

その後に、リモート・リポジトリの存在を確認し、必要に応じて新規のものを作成する。そしてローカル・ディレクトリパス “/mnt/user-data” を再帰的にスキャンする処理を開始する。

検出された全ファイルは base64 エンコードされ、GitHub Contents API を介してアップロードされる。攻撃者が、複数の被害データを効率的に管理できる構造を持ち、窃取データは実行ごとに生成される一意のフォルダに整理される。

さらに、ユーザーから疑念を持たれないようにするために、”network connections” とラベル付けされた偽の診断ログも生成し、正規動作を装う。

Local collection path (Source : Ox).
Local collection path (Source : Ox).

さらに、GitHub API 通信用の構造化リクエスト・ラッパーや、ファイル収集を自動化する再帰探索ルーチンも確認されている。

コード・コメントやコミット・メッセージはありふれたものであるが、表面的な確認では不審点が発見されにくいよう設計されている。

この攻撃者の、最も深刻なオペレーション上の失敗は、マルウェア内にプライベート GitHub トークンがハードコードされていた点である。このミスを突いた OX Security は、攻撃者のリポジトリを直接追跡し、約 7 件のアクティブなデータ流出イベントを観測した。

これらの多くは、本格的な展開前のテスト実行と見られる。

一連の追加分析により判明したのは、このキャンペーンで使用された GitHub アカウントが、パッケージ公開の数時間前に作成されていたことである。

攻撃者は “test” と名付けたリポジトリで機能検証を行っており、コミットタイム・スタンプやアクティビティ・ログが、フォレンジック分析の手がかりとなった。

発見後に、この悪意の GitHub アカウントは削除されたが、npm パッケージ自体は依然として利用可能な状態にある。

影響を受けたパッケージは以下の通りである。

  • パッケージ名:mouse5212-super-formatter
  • 影響バージョン:すべてのバージョン
推奨対応

このマルウェアは、”/mnt/user-data” ディレクトリ内のファイルを標的としており、開発環境/コンテナ環境/クラウド環境などで一般的に使用されるパスに焦点を当てるものだ。

Threat Actor Analysis (Source : Ox).
Threat Actor Analysis (Source : Ox).

すでに当該パッケージをインストールしている場合には、このディレクトリ内の機密性の高いデータが漏洩したと見なすべきである。

OX Security は、以下の即時対応を推奨している:

  • GitHub アクセストークンの即時失効
  • 機密データの漏洩有無の監査
  • GitHub リポジトリ・アクティビティの異常監視

このインシデントは、AI 生成コードを利用したマルウェア開発の拡大という、広範なトレンドを示している。AI により、攻撃における参入障壁は低下する一方で、この件のような基本的なセキュリティ実装の不備により、攻撃者側のインフラ露出を招くケースも存在する。

今後、同様のキャンペーンは増加が予想されるが、高度な技術を必要とせずに実害を引き起こす可能性があるため、特にソフトウェア・サプライチェーンにおいては深刻な影響が生じる。オープンソース・エコシステムの継続的な監視と、パッケージ検証の強化がリスク低減に不可欠である。

訳者後書:AI を悪用して作成された悪意のあるプログラムが、正規のユーティリティを装って公開されていました。この悪意のパッケージは、開発ツールのふりをして、特定のローカル・ディレクトリからデータを盗み出し、それらを取り込んだファイルを自動的に暗号化し、外部へ送信する機能を備えていました。しかし、攻撃者の設計ミスにより、ハードコードされたプライベート GitHub トークンが露出し、実際のデータ窃取の動きが検知されました。AI が生成するコードに対して、しっかりとした検証が必要であることを示す事例です。よろしければ、GitHub での検索結果も、ご参照ください。