最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- ReversingLabs の調査では、 Ethereum スマートtracを使用してマルウェア URL を隠す npm パッケージ clortoolv2 と mimelib2 が特定されdentた。.
- この活動は Stargazer の Ghost Network と関連付けられており、研究者はオープンソース ライブラリを選択する際には注意が必要だと主張しています。.
- このキャンペーンは、スター、コミット、メンテナーが未検証の、暗号通貨取引ボットを装った偽の GitHub リポジトリに依存していました。.
ReversingLabsの調査により、 Ethereum スマートtracを利用して悪意のあるソフトウェアのURLを隠蔽するマルウェア攻撃キャンペーンが明らかになりました。調査結果によると、ハッカーはダウンローダーとして機能するnpmパッケージcolortoolv2とmimelib2を使用していました。.
npm パッケージがインストールされると、 Ethereum スマートtracを照会して、コマンド アンド コントロール インフラストラクチャ (C2) から第 2 段階のマルウェアを取得します。.
ReversingLabsの研究員であるLucija Valentic氏は、この攻撃を独創的だと評し、これまでに見たことがないと指摘しました。攻撃者の手法は、パッケージスクリプト内の疑わしいURLを通常は検出する従来のスキャンを回避していました。.
脅威アクターはマルウェアを人目につく場所に隠す
Ethereum スマートコントラクトtrac、 ブロックチェーンの機能を自動化する公開プログラムです。今回のケースでは、ハッカーが悪意のあるコードを人目につく場所に隠すことが可能でした。悪意のあるペイロードは単純なindex.jsファイルに隠されており、実行されるとブロックチェーンにアクセスしてコマンドアンドコントロール(C2)サーバーの詳細情報を取得していました。
によると ReversingLabsの 調査、ダウンローダーパッケージはnpmでは標準ではなく、ブロックチェーンホスティングは回避戦術の新たな段階を示している。
この発見を受けて、研究者たちはGitHubを広範囲にスキャンし、npmパッケージが暗号通貨ボットを装ったリポジトリの下に埋め込まれていることを発見しました。これらのボットは、 Solana-trading-bot-v2、Hyperliquid-trading-bot-v2など、様々なボットに偽装されていました。リポジトリは複数のコミット、コンテナ、スターをtracするプロ仕様のツールに偽装されていましたが、実際には捏造されたものでした。.
調査によると、コミットやリポジトリのフォークを行ったアカウントは7月に作成されており、コーディング活動は確認されていませんでした。ほとんどのアカウントのリポジトリにはREADMEファイルが埋め込まれていました。コミット数は、コーディング活動を水増しするために自動プロセスによって人為的に生成されたものであることが明らかになりました。例えば、記録されたコミットのほとんどは、意味のある更新ではなく、ライセンスファイルの変更のみでした。.
あるメンテナーが使用していたハンドルネーム「Pasttimerles」は、多くのコミットを共有するために使用されていたことが注目されました。また、別のハンドルネーム「Slunfuedrac」は、悪意のあるnpmパッケージをプロジェクトファイルに組み込むことに関連していました。.
一度検出されると、ハッカーは依存関係を別のアカウントに切り替え続けました。colortoosv2が検出された後、彼らはmimelibv2に切り替え、その後mw3ha31qとcnaovallesへと切り替えました。これらはそれぞれコミットインフレと悪意のある依存関係の配置につながりました。.
ReversingLabsの調査によると、この活動はStargazerのGhost Networkに関連していることが判明しました。これは、悪意のあるリポジトリの信頼性を高めるアカウントの連携システムです。この攻撃は、オープンソースの暗号通貨ツールを求め、GitHubの統計情報を正規のアカウントと誤認する可能性のある開発者を標的としていました。.
Ethereum ブロックチェーンへのマルウェア埋め込みは脅威検出の新たな段階を示す
今回発覚した攻撃は、ブロックチェーンエコシステムを標的とした一連の攻撃に続くものです。2025年3月、ResearchLabsは、正規のEthersパッケージにリバースシェルを有効にするコードを適用した、悪意のあるnpmパッケージを発見しました。Ether-provider2およびethers-providerZというnpmパッケージにも、リバースシェルを有効にする悪意のあるコードが含まれていたことが判明しました。.
2024年12月に発生したPyPIのUltralyticsパッケージへの侵入を含む、仮想通貨マイニングマルウェアの配信に利用された事例もいくつか明らかになっています。また、Google DriveやGitHub Gistといった信頼できるプラットフォームがC2サーバー経由で悪意のあるコードを隠蔽するために利用されていたdentも確認されています。.
調査によると、2024年にはマルウェアからdent情報の漏洩に至るまで、暗号関連のサプライチェーンdentが23件記録されました。.
最新の発見は、古い手法を用いていますが、 Ethereumtracアプローチを新たなメカニズムとして導入しています。リサーチラボの研究者であるヴァレンティック氏は、この発見は、オープンソースプロジェクトや開発者を狙う悪意のある攻撃者による検出回避戦略の急速な進化を浮き彫りにしていると述べています。.
この調査は、オープンソースライブラリを採用する前にその正当性を検証することの重要性を浮き彫りにしました。Valentic氏は、開発者は開発環境に導入する前に、検討中のライブラリを一つ一つ評価する必要があると警告しました。さらに、スターの数、コミット数、メンテナーの数といった指標は簡単に操作できることは明らかだと付け加えました。.
両方ともdentnpm から削除され、関連する GitHub アカウントは閉鎖されましたが、この活動により、ソフトウェア脅威のエコシステムがどのように進化しているかが明らかになりました。
仮想通貨ニュースを読むだけでなく、理解を深めましょう。ニュースレターにご登録ください。 無料です。
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)