Ethereum コア開発者であるザック・コール氏は最近、フィッシング詐欺の標的となりました。攻撃者はポッドキャストへの出演依頼を装ったリンクを偽装していました。ザック氏によると、この詐欺は偽のドメインと悪意のあるインストーラーを利用して、彼のコンピュータから暗号資産dent情報とデータを盗み出そうとしたとのことです。.
コール氏は月曜日遅くに21件のXスレッドを投稿し、Xへのダイレクトメッセージで「ポッドキャストに参加してください!」と誘うことから詐欺が始まった経緯を説明した。
2/21
— zak.eth (@0xzak) 2025年9月15日
すべては「私たちのポッドキャストに参加しませんか!」というTwitterのDMから始まった。
攻撃者(@0xMauriceWangの誰かを装っていた @theempirepodメールが届いた [email protected] @StreamYardのリンク付きの pic.twitter.com/fEvazOVFs5
送信者は、ソーシャルプラットフォーム上でハンドルネーム「@0xMauriceWang」を使い、ブロックワークスのポッドキャスト番組「Empire」の担当者を装い、ザック氏によると「合法的なポッドキャストドメイン」のように見えるものからメールを送信した。
フィッシャーはザックが悪質なアプリをインストールするのを「手助け」しようとした
Etherコア開発者によると、メールにはstreamyard.comと表示されたリンクが含まれていましたが、実際にはstreamyard.orgへのハイパーリンクでした。コール氏がクリックすると、「参加エラー」というメッセージが表示され、続行するにはデスクトップアプリケーションをダウンロードするように指示されました。.
コール氏がXスレッドで共有したスクリーンショットによると、当初は会社のセキュリティポリシーを理由にインストールを拒否したが、攻撃者は「今回だけ」追加するよう懇願し、想定されるアプリのインストール方法を説明するビデオチュートリアルまで送ってきた。.
「おい、StreamYardだ。300万人以上のユーザーがいる。俺も会社のノートパソコン持ってるけど、全然問題ない。ブラウザ版はほとんど使えなくて、20回試して1回くらいしか繋がらない。マーケティング目的で残してるんだろうけど、実際はみんなデスクトップアプリ使ってるよ。ずっと安定してるし…」とメッセージには書かれていた。.
そのとき、コール氏は「あらゆるところに危険信号」があることに気づき、仕事用のコンピューターではなく、管理された研究室のコンピューターにパッケージをダウンロードしました。.
DMG ファイル内には、「.Streamyard」という名前の隠された Mach-O バイナリ、Bash ローダー、およびユーザーを騙してドラッグしシステムレベルのアクセス権を取得するための偽のターミナル アイコンが見つかりました。.
彼はこのローダーを「でたらめのロシアの入れ子人形」と表現し、Base64の断片を連結し、キーで復号し、その結果を再エンコードして実行する仕組みを説明した。各ステップは、ウイルス対策ソフトによる検出を回避することを目的としていた。.
「オフラインでデコードしたところ、Stage2はAppleScriptで、マウントされたボリュームを見つけ、.Streamyardを/tmp/.Streamyardにコピーし、xattr -c、chmod +xで隔離領域を削除してから実行するというものでした。サイレントかつ正確で、致命的です」と開発者はコード行を書き留めながら説明した。.
コール氏はさらに、被害者がmacOS Gatekeeperを無効にしたり、ターミナルドラッグのフィッシング詐欺に引っかかったりした場合、 マルウェアは パスワード、暗号通貨ウォレット、電子メール、メッセージ、写真など、すべてを密かに盗み出すだろうと付け加えた。
攻撃者との会話から、雇われたマルウェアサービスが判明
コール氏は、詐欺行為を中止する代わりに、詐欺師に助けを求めた後、詐欺師とのライブ通話に参加した。詐欺師は緊張した様子で、偽のインストール手順をコール氏に案内しようとしながら台本を読み上げた。.
ビデオ通話セッション中、イーサリアムのプログラマーは画面共有を開始し、攻撃者の混乱を招こうと、金正恩の露骨なビデオのフォルダをスクロールした。.
なぜそれが機能しないのか説明を求めると、詐欺師は、国家支援の作戦に参加しているのではなく、月額約3,000ドルでフィッシングキットをレンタルしている活動的なハッカーのコミュニティに属していることを認めた。.
コール氏は、攻撃者が「メイト」などの口語表現を用いて、被害者に自分が英国または米国近辺に拠点を置いていると思わせたと指摘した。また、攻撃者はインフラを直接管理しておらず、ペイロードドメインも管理できず、「低予算のサイバー犯罪サービス」を利用していることも明らかにした。
14/21
— zak.eth (@0xzak) 2025年9月15日
キッカーは https://t.co/3gJrz4EVIl 配信に https://t.co/NqE3HGJVms (@streamyardappルアーとして @_SEAL_Org に)。pic.twitter.com /
クラウドソーシングによるセキュリティ情報企業VirusTotalの調査結果によると、彼らが利用した配信インフラは、スクリプト化されたエンドポイントを通じてペイロードをホストするlefenari.comと、ルアーとして利用されたstreamyard.orgでした。両ドメインは現在、サイバーセキュリティ企業Security Allianceの支援を受けて無効化されています。.
