概要

2026年6月17日、AIエージェントフレームワーク「Mastra」のnpmパッケージ群が大規模なサプライチェーン攻撃を受けた。攻撃者は正規のコントリビューターアカウント「ehindero」を乗っ取り、88分以内に140件以上のパッケージへ悪意ある依存関係を注入した。@mastra/core 単体で週間918,000件以上のダウンロード数を誇るエコシステム全体が影響を受ける規模であり、Microsoftは「高い確信度」でこの攻撃を北朝鮮の国家支援脅威アクター「Sapphire Sleet(別名:BlueNoroff)」に帰属すると断定した。

攻撃の手口

攻撃の核心は、正規の日付ライブラリ「dayjs」を模倣したタイポスクワットパッケージ「easy-day-js」の悪用だ。攻撃者はまず2026年6月16日午前7時5分(UTC)に「sergey2016」というユーザー名でこのパッケージを一見無害なライブラリとして公開。翌6月17日午前1時1分(UTC)に悪意ある変更を加えた後、侵害したアカウントを使って対象パッケージの依存関係にこれを注入していった。

実行チェーンは多段階で構成されている。パッケージのインストール時に postinstall フックが起動し、難読化されたペイロードがTLS検証を無効化した状態で攻撃者のC&Cインフラ(IPアドレス:23.254.164.92)から第2段階のペイロードをダウンロード。マルウェアはデタッチされたバックグラウンドプロセスとして実行された後、自身を削除してフォレンジック回避を図る。最終段階のマルウェアはブラウザ履歴の収集、MetaMask・Phantom・Binance Walletを含む166種類の暗号資産ウォレット拡張機能の探索を行い、Windows(レジストリキー)、macOS(LaunchAgents)、Linux(systemdサービス)それぞれに最適化した手法で永続化を確立する。

アカウント侵害の入り口はソーシャルエンジニアリングだった。攻撃者はLinkedIn上で採用担当者を装い、対象の開発者を通話に誘い込んで不審なリンクをクリックさせる手法を取った。

背景と脅威アクターのプロファイル

Sapphire Sleetは暗号資産窃取を主目的とする北朝鮮の国家支援グループであり、金融セクターや開発者コミュニティを繰り返し標的にしてきた。2026年4月には人気HTTPクライアントライブラリ「axios」のnpmサプライチェーン攻撃も同グループが実行したとされており、今回のMastra攻撃は手口が酷似している——クリーンなデコイバージョンの事前公開、postinstallドロッパーの活用、暗号資産ウォレットへの執着という3点が共通している。AIツールや開発者向けインフラを標的にする戦術の洗練度が増しており、今後も類似した攻撃が継続する可能性が高い。

推奨される対処法

侵害されたパッケージを利用していた場合は、直ちに安全なバージョンへロールバックし、クラウド認証情報・LLM APIキー・暗号資産ウォレットのシードフレーズをすべてローテーションすることが急務だ。侵害の痕跡がシステム上に残っていないか監査も必要になる。再発防止の観点では、パッケージ署名検証とSLSAプロビナンス証明の義務化がサプライチェーンセキュリティの強化策として挙げられている。今回の攻撃は、オープンソースのAIフレームワークエコシステムが国家レベルの攻撃者にとって魅力的な標的となっていることを改めて示した事例となった。