2025年11月21日、セキュリティ研究者たちは、これまでで最も攻撃的なNPMサプライチェーン攻撃の一つとなるものの始まりを検出しました。シャイ・フルード2。0キャンペーンは72時間以内に25000 GitHubリポジトリを侵害し、Zapier、ENS Domains、PostHog、Postmanなどの主要組織のパッケージを標的にしました。マルウェアの自己増殖型設計は、人間の速度ではなくコンテナ速度で移動する複合的な脅威を生み出しました。
このバリアントはnpmのプリインストールフェーズ中に実行され、パッケージのインストールが完了する前に開発者の認証情報、GitHubトークン、クラウドプロバイダーの秘密情報を収集していました。盗まれた認証情報は「Sha1-Hulud: The Second Coming」とラベル付けされた公開GitHubリポジトリに現れ、脅威アクターがトークンを再利用して追加の悪意あるパッケージを公開する二次的な攻撃経路を生み出しました。研究者たちは攻撃のピーク時に約1000新たな侵害されたリポジトリが30分ごとに現れる様子を追跡しました。
コンテナ化アプリケーションでnpmパッケージを使用しているチームにとって、この攻撃は初期の資格盗難だけでなく、再構築サイクルを通じて持続し、サプライチェーンに深くまで侵入する組織的なサプライチェーン侵害のリスクも含まれていました。
Dockerのリアルタイム応答アーキテクチャ
Google Mandiantの2023脆弱性分析によると、脆弱性の平均悪用時間は201863日から19日からわずか5日に大幅に減少しました。シャイ・フルド型攻撃が増加している中、脆弱性の圧縮時間は数日から数時間に変わる見込みです。
セキュリティ研究者が侵害の兆候を公表して数時間以内に、Docker Securityは DSA-2025-1124を作成し、Shai Hulud 2の検出ルールをエンコードしたDockerセキュリティアドバイザリーを作成しました。0 マルウェアのシグネチャ。このアドバイザリーはすぐにDocker Scoutの継続的監視パイプラインに入り、CVEの取り込みを処理するのと同じ自動化ワークフローに従っていました。
保護の展開方法は以下の通りです:
自動的な脅威インテリジェンスの取り込み: Docker Scoutは複数の公開ソースから継続的にセキュリティインテリジェンスを取り込んでいます。Scoutのインジェスションパイプラインはこれらのソースから悪意のあるパッケージインジケーターやマルウェアシグネチャを特定し、数秒以内に拡散しました。
即時サプライチェーン分析: Docker Scoutは、すべてのDocker Hardened ImagesおよびScout保護下にある顧客イメージからSBOMに対する脅威インテリジェンスをクロスリファレンスしました。この分析により、侵害されたパッケージエコシステムからの依存関係を含むイメージが特定され、Dockerレジストリ全体にわたる即時のリスク評価が可能となりました。
自動検出分布: シャイ・フルードを含むDSA 2。0 検出ルールはScoutの監視インフラを自動で伝播します。すべてのDocker Scout保護環境は、手動のポリシー更新や署名ダウンロードを必要とせず、最新の脅威インテリジェンスに基づいて悪意のあるパッケージをフラグ付けする能力を得ました。
継続的な検証: Docker SecurityがすべてのDocker GitHub Enterpriseリポジトリを即座にスキャンした(結果は出ませんでした)が、同じSBOMベースの検証でDocker Hardened Imagesに侵害されたパッケージが含まれていないことが確認されました。
脅威の開示から展開された防御まで、対応サイクルは数時間で完了しました。Docker Scoutを使用している組織は、攻撃が進行中の漏洩パッケージへの露出を特定したアラートを受け取り、迅速に対応してインフラを保護することができました。
なぜDockerのアプローチが検証可能な保護を生み出すのか
ドッカーのシャイ・フルードへの返答 2。0 、セキュリティアーキテクチャが攻撃が人間の対応速度よりも速く進むと想定しなければならない理由を示しています。
リアルタイムの保護: 従来の脆弱性管理では、各脅威を個別のイベントとして扱い、調査、トリアージ、手動による修復が必要です。Docker Scoutのアーキテクチャは脅威インテリジェンスをストリーミングデータとして扱い、新しい指標が利用可能になると検知機能を継続的に更新します。
統一テレメトリは死角を排除します: Scoutのモニタリング、DHIのビルドパイプライン、Dockerのサプライチェーン追跡の統合により、稼働状況や出所を完全に把握できます。Shai Huludマルウェアがnpmエコシステムを侵害しようとしたとき、Dockerのアーキテクチャは即座に「リスクはありますか?」と答えることができました。
暗号的検証は、火の中でも信頼を可能にします: すべてのDocker Hardened Imageには完全なSBOM、暗号署名、検証可能なビルドプロウェナンスが付属しています。アクティブなサプライチェーン攻撃時には、この透明性が運用能力の実現となります。セキュリティチームは監査人、インシデント対応者、経営陣に対し、本番環境で何が稼働しているか、どのバージョンが展開されているか、侵害されたパッケージがサプライチェーンを通過したかどうかを正確に証明できます。
攻撃速度に見合った速度: 自己拡散するマルウェアは、自動的な悪用を通じて拡散します。つまり、素早く動かなければならないということです。Dockerの修復パイプラインは、セキュリティチームがチケットを提出したりメンテナンスウィンドウをスケジューリングしたりするのを待たずに行います。脅威が発生すると、パイプラインは自動的に検知更新を開始し、画像の整合性を検証し、事実に基づくSBOMデータに基づいて露出のフラグを立てます。
五本柱はプレッシャーの中でその実力を証明する
Dockerのセキュリティアーキテクチャは、プレッシャーの中で証明された 5つの柱 に基づいています:最小限の攻撃面、完全なSBOM、検証可能な出所、悪用可能性のコンテキスト、そして暗号的検証です。シャイ・フルド 2の間、0、これらは自動的に機能する制御として連携し、チームはSBOMsを通じて露出を即時に検証し、暗号署名で完全性を証明し、実際に兵器化されたパッケージに対応を集中させることを可能にしました。たとえ組織がDocker Hardened Imagesを使用しなくても、Docker Scoutを使えば、Scout生成のSBOMを通じて同じ検出速度を得られます。これらは透明性と速度に最適化されています。
コンテナ速度でのサプライチェーンセキュリティ
私たちは、パッケージインフラを標的とした現代のサプライチェーン攻撃が、従来のセキュリティ対応時間を上回るように設計されることが増えていると考えています。唯一実行可能な対応策は、この速度に匹敵するセキュリティアーキテクチャと応答メカニズムです。
もしセキュリティチームが先月のサプライチェーン攻撃のアラートを追いかけているか、コンテナイメージに依存関係が侵害されていないか不安な場合、Dockerは異なるアプローチを提供します。
Docker ScoutとHardened Imagesがどのように継続的かつ検証可能な保護を提供するか、リアルタイムセキュリティアーキテクチャがあなたの特定の環境にどのように適用されるかについて、当社のチームにお問い合わせください。
