最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- 悪意のある行為者は現在、正当な暗号プロジェクトに悪意のあるコードを挿入し、何も知らないユーザーからデジタル資産を盗んでいます。.
- 攻撃の起源は通常開発者にあり、悪意のあるコードは取引中に受信者のウォレット アドレスを切り替えることができます。.
- 悪意のあるコードは、npm パッケージが削除された後もシステム上に残り、永続性を保つという証拠も示されています。.
悪意のある攻撃者は、正当なプロジェクトに悪意のあるコードを挿入し、無防備なユーザーからデジタル資産を盗み出しています。報道によると、サイバーセキュリティ研究者は、侵害されたnpmパッケージを通じて暗号通貨ユーザーを標的とする高度なマルウェア攻撃を発見しました。.
報道によると、この攻撃はAtomicウォレットとExodusウォレットのユーザーを特に標的としており、攻撃者は悪意のあるコードを挿入することで取引を乗っ取り、資金を攻撃者のウォレットにリダイレクトします。この最新のキャンペーンは、ソフトウェアサプライチェーン攻撃を通じて仮想通貨ユーザーを標的とした一連の攻撃の流れに沿ったものです。.
攻撃の起点は開発者側にある場合が多く、その多くは気づかないうちに侵害されたnpmパッケージをプロジェクトにインストールしてしまうのです。今回のキャンペーンでdentされたそのようなパッケージの一つが「pdf-to-office」です。一見すると正規のパッケージのように見えますが、実際には悪意のあるコードが隠されています。インストールされると、このパッケージはユーザーのデバイスをスキャンし、インストールされている暗号資産ウォレットを検索します。そして、ユーザーの知らないうちにトランザクションを傍受・リダイレクトする悪意のあるコードを挿入します。.
サイバーセキュリティ研究者が暗号通貨ウォレットを狙う悪質なコードを発見
この攻撃の影響は被害者にとって非常に深刻です。悪意のあるコードは、暗号資産取引を攻撃者が管理するウォレットに密かにリダイレクトする能力を持っています。この攻撃は、 Ethereum、 Solana、 XRP、 TronベースのUSDTなど、複数のデジタル資産に作用します。マルウェアは、ユーザーが資金を送金しようとする瞬間に、ウォレットアドレスを正規のアドレスから攻撃者が管理するアドレスに切り替えることで、この攻撃を効果的に実行します。.
この悪意のあるキャンペーンは、 ReversingLabsの 研究者が疑わしいnpmパッケージの分析を通じて発見しました。研究者らは、疑わしいURL接続や、以前に発見された悪意のあるパッケージに類似したコードパターンなど、悪意のある動作の兆候が多数存在すると述べています。また、今週、この悪意のあるコードを利用しようとするキャンペーンが複数発生していることも指摘しています。攻撃者はこの手法を用いて、持続性を維持し、検出を回避していると考えられます。
「直近では、4月1日に開始されたキャンペーンで、PDF形式のファイルをMicrosoft Office文書に変換するライブラリを装ったパッケージ『pdf-to-office』がnpmパッケージマネージャーに公開されました。このパッケージが実行されると、ローカルにインストールされた正規の暗号資産ウォレットソフトウェア『Atomic Wallet』と『Exodus』に悪意のあるコードが挿入され、その過程で既存の無害なファイルが上書きされました」とReversingLabsは述べています。.
感染メカニズムとコードインジェクション
技術的調査によると、この攻撃は多段階に分かれており、ユーザーがパッケージをインストールするところから始まります。その後は、ウォレットのdent、ファイルのtrac、悪意のあるコードの挿入、そして最終的にはトランザクションのハイジャックへと進みます。攻撃者は難読化技術を用いて意図を隠蔽するため、従来のツールでは検出が困難になり、ユーザーが気付いた時には既に手遅れの状態になっています。.
インストール後、悪意のあるパッケージがインストールされたウォレットソフトウェアを標的としてペイロードを実行することで感染が始まります。コードは、電子tronのアプリケーションで使用されるASARパッケージ形式を標的とする前に、ウォレットのアプリケーションファイルの場所を特定しdent。具体的には、「AppData/Local/Programs/atomic/resources/app.asar」などのパスにあるファイルを検索します。ファイルを見つけると、マルウェアはアプリケーションアーカイブをtracし、悪意のあるコードを挿入して、アーカイブを再構築します。.
インジェクションは、ウォレットソフトウェア内のJavaScriptファイル、特に「vendors.64b69c3b00e2a7914733.js」のようなベンダーファイルを標的とします。マルウェアはその後、トランザクション処理コードを改変し、実際のウォレットアドレスを、Base64エンコードされた攻撃者のアドレスに置き換えます。例えば、ユーザーが Ethereumを送信しようとすると、コードは受信者アドレスをデコードされたアドレスに置き換えます。.
感染が完了すると、マルウェアはコマンド&コントロールサーバーを使用して通信し、ユーザーのホームディレクトリパスを含むインストール状況情報を送信します。これにより、 攻撃者は し trac、侵害されたシステムに関する情報を収集できる可能性があります。ReversingLabsによると、この悪意のある経路は永続性も示しており、パッケージが削除された後でも、Web3ウォレットが感染したシステムに残っているとのことです。
仮想通貨ニュースを読むだけでなく、理解を深めましょう。ニュースレターにご登録ください。 無料です。
免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を
オウォトゥンセ・アデバヨ
アデバヨ氏は、仮想通貨分野で4年間の経験を持つライターです。ラゴス大学で都市・地域計画を学び、卒業しました。TokenhellとCryptoTickerで勤務し、仮想通貨とフィンテックに関するニュースを執筆しています。現在は Cryptopolitanのニュース寄稿者です。.
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)