リモート管理ツール SimpleHelp の重大な OIDC 認証バイパス CVE-2026-48558 が、実環境で悪用されていると複数のセキュリティ研究者が 6 月 30 日に報告しました。攻撃者は管理者級「Technician」セッションを無認証で確立し、Node.js 製ローダ TaskWeaver と新型情報窃取マルウェア Djinn Stealer を展開しています。

主なポイント

  • CVE-2026-48558 は CVSS 10.0 の OIDC 認証バイパス。SimpleHelp が OIDC ID トークンの署名を検証せず、攻撃者は任意クレームを詰めた偽トークンで Technician 権限を取得可能
  • 攻撃連鎖は (1) インターネット公開の SimpleHelp に偽トークンでログイン ⇒ (2) jquery.js に偽装した TaskWeaver を node.exe で実行 ⇒ (3) 暗号化済みペイロードで Djinn Stealer を投下、という流れ
  • Djinn Stealer はクラウド・SCM・パッケージレジストリ・SSH・暗号資産ウォレットの認証情報を回収。Claude / Gemini / Codex / Cline / OpenCode / Kilo など AI コーディング支援ツールのトークンも標的に
  • 影響は Windows / macOS / Linux のクロスプラットフォーム
  • CISA は CVE-2026-48558 を Known Exploited Vulnerabilities (KEV) カタログに登録。米連邦民間機関は 7 月 2 日まで に修正適用と影響調査が義務付け

出典: Critical SimpleHelp flaw exploited to deploy new stealer malware - BleepingComputer