セキュリティ機構の慢霧（マンドウ）が緊急警報を発表。北朝鮮のLazarus組織傘下の子組織HexagonalRodentがWeb3開発者を標的に攻撃を行っている。高額のリモート勤務などのソーシャルエンジニアリング手段を用いて、悪意のあるソフトウェアのバックドアを含むスキル評価コードを開発者に実行させ、最終的に暗号資産を窃取する。Expelの調査報告によると、2026年上半期の最初の3か月で損失額は1,200万米ドルに達した。

攻撃手法：スキル評価コードが主要な感染入口

攻撃者はまずLinkedInまたは求人プラットフォームで標的に連絡するか、偽の会社Webサイトを作成して求人情報を掲載し、「在宅スキル評価」を口実に開発者に悪意のあるコードを実行させる。評価コードには2つの感染経路が含まれる：

VSCode tasks.json攻撃：runOn: folderOpen指示を含むtasks.jsonファイルへ悪意のあるコードを埋め込み、開発者がVSCodeでコードファイルのフォルダを開くだけで、悪意のあるソフトウェアが自動的に実行される。

コード内蔵バックドア：評価コード自体にバックドアを埋め込み、コード実行時に感染を発動。VSCodeを使用していない開発者に対して代替の入口を提供する。

使用される悪意のあるソフトウェアには、BeaverTail（NodeJSの多機能窃取・スパイツール）、OtterCookie（NodeJSのリバースシェル）、InvisibleFerret（Pythonのリバースシェル）が含まれる。

初回サプライチェーン攻撃：fast-draft VSX拡張が侵害される

2026年3月18日、HexagonalRodentはVSCode拡張「fast-draft」に対してサプライチェーン攻撃を仕掛け、侵害された拡張を通じてOtterCookieの悪意のあるソフトウェアを拡散した。慢霧は確認した。2026年3月9日、fast-draft拡張の開発者と同名のユーザーがOtterCookieに感染していた。

システムが感染している可能性がある場合、以下のコマンドで既知のC2サーバー（195.201.104[.]53）に接続しているかを確認できる： MacOS/Linux：netstat -an | grep 195.201.104.53 Windows：netstat -an | findstr 195.201.104.53

AIツールの悪用：ChatGPTとCursorが悪意をもって使用されたことが確認される

HexagonalRodentは大量にChatGPTとCursorを攻撃の補助に使用しており、悪意のあるコードの生成や偽の会社Webサイトの構築を含む。AIが生成した悪意のあるコードを見分ける鍵となるサインは、コード内で絵文字が大量に使用されている点（手書きコードでは非常にまれ）である。

Cursorは関連するアカウントとIPを1営業日以内にブロックした。OpenAIは、ChatGPTの使用が限定的であることを確認し、これらのアカウントが求めている支援は正当なセキュリティのユースケースにおけるデュアルユースのシナリオに属すると説明。継続的な悪意のあるマルウェア開発活動は確認されていない。少なくとも13件の感染済みウォレットの資金流入が、既知の北朝鮮のイーサリアムアドレスへ送金されており、110万米ドル超を受領していることが確認されている。

よくある質問

Web3開発者は、この種の攻撃からどのように自分を守れますか？

中核となる防御策は以下のとおり：（1）不審な求人相手に対して高度な警戒心を保ち、特に在宅コード評価を求める機会に注意すること；（2）サンドボックス環境で、メインシステムではなく、不慣れなコードリポジトリを開くこと；（3）VSCodeのtasks.jsonファイルを定期的に確認し、未承認のrunOn: folderOpenタスクがないことを確認すること；（4）ハードウェアセキュリティキーで暗号ウォレットを保護すること。

自分のシステムが感染しているかどうか、どう確認できますか？

クイック自己点検コマンドを実行する：MacOS/Linuxユーザーはnetstat -an | grep 195.201.104.53を実行し、Windowsユーザーはnetstat -an | findstr 195.201.104.53を実行する。既知のC2サーバーとの持続的な接続を見つけた場合は、直ちにネットワークを切断し、全面的なマルウェアスキャンを実施すべきである。

HexagonalRodentはなぜNodeJSとPythonをマルウェア言語として選んだのですか？

Web3開発者は通常、システムにNodeJSとPythonをインストールしているため、悪意のあるプロセスが通常の開発者の活動に溶け込み、アラートを引き起こさない。これら2言語は従来のマルウェア対策システムの主要な監視対象ではなく、さらに商用のコード難読化ツールの使用により、特徴（シグネチャ）コードの検出が非常に困難になる。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

PolymarketがSteamログインを追加、Balancerのハッカーが7,000 ETHをBTCにスワップ、Aave Chanがデポジット・ボールトを提案

資金フロー予測市場セキュリティインシデントオンチェーンデータ

Gate Newsメッセージ、4月24日 — Polymarketは新しいSteamアカウントのログインオプションを導入し、ユーザーの利用方法を拡大しました。SaturnはSTRCの保有高を増やし、総ポジションの評価額は$33 millionでした。Balancerのハッカーが7,000 ETHを204.7 BTCに転換し、約$15.88 millionに相当し、ウォレット間の送金を通じて実行しました。

GateNews1時間前

BalancerのハッカーがTHORChainを介して7,000 ETHを204.7 BTCに変換今日

bitcoin news ethereum news セキュリティインシデントオンチェーンデータ

Gate News メッセージ、4月24日 — 2025年11月にBalancerから資産を約$98 百万ドル盗んだハッカーは、クロスチェーンプロトコルTHORChainを通じてETHをBTCに換金し始めました。今日、攻撃者は7,000 ETHを204.7 BTCに交換し、その価値は約$15.88 millionで、

GateNews2時間前

Slow Mist、macOS上で暗号資産とハードウェアウォレットを狙うマルウェア・アズ・ア・サービス・プラットフォームMioLabに警鐘

セキュリティインシデント

ゲートニュース、4月24日 — Slow Mistの最高情報セキュリティ責任者23pdsがXで、MioLabは非常に商業化されたmacOSのマルウェア・アズ・ア・サービス (MaaS) プラットフォームであり、ロシアのダークフォーラムで積極的に宣伝されていると明らかにした。同プラットフォームは、サイバー犯罪者グループに対して、C2制御、API統合、カスタマイズされた攻撃機能を提供する

GateNews4時間前

米軍特殊部隊の統一士官長が逮捕：機密情報を使って Polymarket に賭け、マドゥロが逮捕されることで利益40万ドルを得る

予測市場執行措置セキュリティインシデント

米司法省ニューヨーク南部地区は、米軍特殊部隊の軍曹長官 Gannon Ken Van Dyke を起訴した。機密情報を利用して Polymarket でマドゥロの逮捕結果に賭け、約 409,881 米ドルの利益を得たとしている（13 件の取引、2025-12-27 から 2026-1-26）。違反には、違法な機密情報の使用、非公開情報の窃取、商品取引の詐欺、電信送金の詐欺、および違法な金銭取引などが含まれる。内線と予測市場の裁定取引を中核とする連邦起訴としては初の事例であり、今後の規制の方向性に影響を与える可能性がある。

ChainNewsAbmedia5時間前

スペイン警察、違法マンガ海賊サイトから€400Kの暗号資産を押収、3人逮捕

執行措置セキュリティインシデント

ゲートニュース記事、4月24日――アルメリア州のスペイン警察は、同国最大の違法マンガ配信プラットフォームへの家宅捜索の際、約€400,000を含む暗号資産のコールドウォレット2つを押収した。この作戦に関連して3人が逮捕された。作戦は2025年中頃に知的財産権の権利者からの申し立てを受けて開始され

GateNews7時間前

0/400

コメントなし