マルウェア

慢雾の監視によると、IronWormという名前の新型Rustサプライチェーンマルウェア活動が、悪意のあるnpmパッケージを通じて開発者環境とWeb3エコシステムを攻撃しています。潜在的な攻撃行為には、認証情報の窃取、ウォレットのニーモニックとパスワードの盗取、GitHubリポジトリの改ざん、悪意のあるパッケージの公開、CI/CDの機密漏洩、Torベースのコマンドコントロール、eBPFルートキットの隠蔽が含まれます。セキュリティチームは、リポジトリ内のリバートコミット、疑わしいブランチ、予期しないビルドフック、およびclaude、dependabot、renovate、またはgithub-actionsなどの自動化されたアイデンティティによるコミットを監査するべきです。影響を受けたパッケージのバージョンを削除または廃止し、クリーンなバージョンを公開し、漏洩したすべてのキーとトークンをローテーションし、GitHub Actionsのコンポーネントをレビューし、クリーンなイメージから損傷を受けた可能性のある開発またはCIシステムを再構築することをお勧めします。

Cryptopolitan の報道によると、ネットワークセキュリティアナリストは RemotePE と呼ばれる新しいファイルレスリモートアクセス型トロイの木馬 (RAT) を発見しました。北朝鮮に関連すると考えられているサイバー犯罪組織 Lazarus Group がこのトロイの木馬を利用して銀行や暗号通貨会社を攻撃しています。このトロイの木馬は完全にメモリ内で実行され、従来のウイルス対策やフォレンジックツールでは検出が困難です。攻撃者は Telegram を通じて取引会社の従業員を装い、偽の Calendly や Picktime のリンクを使用してソーシャルエンジニアリング攻撃を行います。マルウェアは DPAPILoader、RemotePELoader、RemotePE の三段階でチェーンロードされ、全プロセスはファイルシステムに触れず、プロセスの掘り空け、逆解析チェック、暗号化された C2 通信を利用して検出を回避します。このマルウェアは 2025 年 9 月に初めて発見されました。2026 年の最初の 4 ヶ月間で、Lazarus 組織は約 5.77 億ドルの暗号資産を盗み出し、これは世界の暗号盗難総額の 76% に相当します。2017 年以来、この組織が累計で盗んだ金額は 60 億ドルに達しています。

安全会社 Socket Security は、TrapDoor と呼ばれる暗号通貨窃盗活動が npm、PyPI、Crates.io などのソフトウェアパッケージリポジトリで積極的なサプライチェーン攻撃を開始していることを明らかにしました。現在、34 の悪意のあるパッケージと 384 のバージョンおよびコンポーネントが発見されており、攻撃者は各エコシステムに新しいバージョンを継続的にプッシュしています。TrapDoor は主に暗号通貨、DeFi、AI、セキュリティ分野の開発者をターゲットにしており、ウォレット、SSH キー、クラウド認証情報、GitHub トークン、ブラウザデータ、環境変数、API キーを盗みます。Socket が検出した悪意のあるバージョンの中央値検出時間は 5 分 27 秒で、最も早い検出はリリース後 58 秒で発生しました。

GitHubは、内部リポジトリへの不正アクセス事件に関する調査の詳細を更新しました：GitHubは昨日、従業員のデバイスが侵害された事件を検出し、制御しました。この事件は、悪意のあるプログラムが埋め込まれたVS Code拡張に関連しています。GitHubは悪意のある拡張を削除し、影響を受けた端末を隔離し、直ちに事件対応を開始しました。現在の評価では、GitHubの内部リポジトリのみがデータ漏洩の影響を受けており、攻撃者が主張する約3800のリポジトリ数は調査結果と大体一致しています。GitHubは重要な認証情報のローテーションを優先し、ログの分析、認証情報のローテーションの検証、及びその後の活動の監視を行っています。調査が完了次第、完全な報告書を発表する予定です。さらに、SlowMistの最高情報セキュリティ責任者23pdsはこの事件について次のように述べています："ネット犯罪フォーラムの情報を分析することで、ハッカーはAnthropicのMythosセキュリティAIを使用して、GitHubの防御を正確に突破し、約4000のコア内部リポジトリを盗み出した可能性があります：その中にはCopilotのソースコード、CodeQLのアルゴリズム、Actionsの実行環境、そして全体の請求システムなどの情報が含まれています。今後、これらのコードを分析することで再度攻撃が行われ、オープンソースコミュニティ全体に深刻なセキュリティ影響を及ぼす可能性があります。"

慢雾の最高情報セキュリティ責任者 23pds が X プラットフォームで、node-ipc が再び侵害を受けたことを明らかにしました。公開された node-ipc の悪意のあるバージョン（9.1.6、9.2.3、12.1）は、同じ認証情報窃盗のペイロードを持っており、このパッケージは毎週 1,000 万回以上ダウンロードされています。

Decrypt の報道によると、マイクロソフトの脅威インテリジェンス部門は、攻撃者が PyPI プラットフォームを通じて配布される Mistral AI ソフトウェアパッケージに悪意のあるコードを埋め込んだことを明らかにしました。この悪意のあるコードは、開発者が Linux システムで使用する際に自動的に実行され、transformers.pyz という名前の悪意のあるファイルをダウンロードし、バックグラウンドで実行します。このファイル名は、広く使用されている Hugging Face Transformers ライブラリを模倣して視覚的に混乱させるように意図されています。マイクロソフトは、この悪意のあるソフトウェアが主に開発者のログイン資格情報とアクセストークンを盗むことを指摘し、ロシア語システムを回避することがあり、一部のコードはイスラエルまたはイランにあるデバイスのファイルをランダムに削除する可能性があると述べています。この攻撃は、9 月に開始された "Shai-Hulud" サプライチェーン攻撃活動に関連しています。Mistral は、調査の結果、攻撃が侵害された開発者のデバイスから発生したことを示しており、同社のインフラは侵害されていないと応じています。

ブロックチェーンセキュリティ機関 SlowMist (@SlowMist_Team) の脅威監視システム MistEye によると、「Mini Shai-Hulud」と呼ばれる高度に複雑な npm ワームが、TanStack、UiPath、DraftLab などの有名な開発者プロジェクトを通じて拡散しています。攻撃者は GitHub の認証情報をハイジャックし、合法的な更新を装った悪意のあるソフトウェアパッケージを公開し、その中に隠れたスクリプト router_init.js を埋め込み、GitHub Actions などの CI/CD 環境で静かに実行され、CI/CD キー、クラウドインフラストラクチャキー、暗号通貨ウォレット情報を専門に盗み、GitHub 自身のインフラストラクチャを利用してデータを外部に送信します。SlowMist は顧客に関連する脅威インテリジェンス (IOC) を同期し、影響を受けたソフトウェアパッケージを使用しているプロジェクトに対し、CI/CD パイプライン内に router_init.js ファイルが存在するかどうかを直ちに調査し、すべての露出した GitHub、クラウドサービス、暗号通貨の認証情報をローテーションし、開発環境内の異常なバックグラウンド活動を継続的に監視することを推奨しています。

市場の情報によると、マイクロソフトのセキュリティ研究チームは、攻撃者が2025年末から偽のmacOSトラブルシューティングガイドを公開し、ユーザーに悪意のある端末コマンドを実行させることで、暗号ウォレット、iCloudデータ、ブラウザに保存されたパスワードを盗むことを発見しました。これらの偽のガイドはMedium、Craft、Squarespaceなどのプラットフォームに公開されており、ディスクスペースの解放やシステムエラーの修正など、ユーザーの一般的な問題を対象にして、ユーザーに悪意のあるコマンドを端末にコピー＆ペーストさせるよう誘導します。このコマンドは自動的に悪意のあるソフトウェアをダウンロードして実行します。この手法はClickFixと呼ばれ、macOSのGatekeeperセキュリティメカニズムを回避します。なぜなら、被害者が自らコマンドを実行するからです。関与している悪意のあるソフトウェアファミリーにはAMOS、Macsync、SHub Stealerが含まれ、Exodus、Ledger、Trezorの暗号ウォレットキーや、ChromeとFirefoxに保存されたユーザー名とパスワードを盗むことができます。場合によっては、攻撃者が正当なウォレットアプリを削除し、トロイの木馬バージョンに置き換えることもあります。AppleはmacOS 26.4バージョンで、潜在的に悪意のあるコマンドのペーストを防ぐ保護機能を追加しました。

OpenSourceMalwareの研究によると、北朝鮮のハッカー集団Lazarusは「感染性面接」や「TaskJacker」などの開発者を狙った悪意のある活動に新しい手法を採用し、第二段階のローダーをGit Hooksのpre-commitスクリプトに隠しています。「感染性面接」は、この組織が偽の暗号通貨/DeFi分野の採用プロセスを通じて、開発者を悪意のあるコードリポジトリをクローンさせる一連の攻撃活動であり、最終的に暗号資産や資格情報を盗みます。研究者は、面接プロセスの一環としてコードリポジトリをクローンするよう求められた開発者に対し、このようなリスクに警戒するように勧めており、個人のブラウザ設定、SSHキー、暗号ウォレットをマウントしないように、隔離された環境で実行することを推奨しています。

慢雾のCISO @im23pds がXプラットフォームで発表したところによると、攻撃者は13のアカウントを利用して、Hugging FaceとClawHubに575の悪意のあるスキルを埋め込んだ。

フロントエンドクラウドプラットフォーム Vercel の CEO Guillermo Rauch はツイートで、チームが深刻なセキュリティ調査を完了し、分析範囲が約 1 PB の完全な Vercel ネットワークおよび API ログに及ぶことを報告しました。これは最初の Context.ai アカウント侵害事件をはるかに超えています。調査によると、攻撃者の活動範囲は Context.ai を超え、より広範囲にわたってマルウェアを配布しており、Vercel などのプラットフォームのアカウントキーを盗むことを目的としています。キーを取得すると、攻撃者は迅速かつ包括的に非機密環境変数を列挙します。現在講じられている対策には、Microsoft、AWS、Wiz などの業界パートナーとの協力を深め、より広範なインターネットエコシステムを共同で保護することが含まれています。また、他の疑わしい被害者に通知し、直ちに認証情報をローテーションし、セキュリティのベストプラクティスを強化することを推奨しています。

CoinDeskによると、CertiKの監視によれば、Lazarusグループは金融テクノロジーおよび暗号通貨業界の幹部を対象に「Mach-O Man」と呼ばれる攻撃を展開しています。この操作はClickFixのソーシャルエンジニアリング技術を利用し、虚偽のオンライン会議招待を送信することで、被害者にMac端末で修復指令を貼り付けさせ、会社および財務システムへのアクセス権を取得します。CertiKの研究者ナタリー・ニューソンは、Lazarusグループが過去2週間でDriftとKelpDAOを通じて5億ドル以上を盗んだと述べています。Mach-O ManはLazarusグループの傘下にあるChollima部門によって開発されたモジュラーmacOSマルウェアツールキットで、使用後に自動的に削除され、検出を回避します。さらに、攻撃者はDeFiプロジェクトのドメイン名をハイジャックし、虚偽のCloudflareメッセージに置き換える方法でこの攻撃を実施しています。

ブロックチェーンセキュリティ機関のSlowMistによる監視によれば、MistEyeはコミュニティからの脅威情報を受け取り、「MacSync Stealer」（v1.1.2）という名前の悪意のあるソフトウェアが活発であり、高度に破壊的であると報告しています。この悪意のあるソフトウェアはmacOSユーザーをターゲットにしており、暗号ウォレット、ブラウザの資格情報、システムキーチェーン、インフラストラクチャキー（SSH/AWS/K8s）などの機密データを盗みます。この悪意のあるソフトウェアは、偽のAppleScriptシステムダイアログを利用してフィッシングを行い、データ漏洩後に「サポートされていない」という偽のエラーメッセージを表示します。すでにこのIOC（指標）を顧客に即座に同期しました。検証されていないmacOSスクリプトを実行しないでください。また、予期しないシステムパスワードのプロンプトに対して高い警戒を保ってください。攻撃を受けた疑いがある場合は、直ちに対策を講じる必要があります：すべてのインフラストラクチャ資格情報（SSH/AWS/K8s）を変更し、露出したキーチェーンを無効にし、迅速に暗号資産を安全なウォレットに移動してください。

Bybitの安全運営センターは、検索AI開発ツールClaude CodeのmacOSユーザーに対する多段階のマルウェア攻撃活動を発見しました。攻撃者は検索エンジン最適化を利用して悪意のあるドメインをGoogle検索結果の上位に押し上げ、ユーザーを偽のインストールページに誘導し、ブラウザの認証情報、macOSキーチェーン、Telegramセッション、VPN設定、暗号ウォレット情報を盗みます。Bybitは、このマルウェアがバックドアを通じて持続的なアクセスを確立し、250以上のブラウザウォレット拡張機能や複数のデスクトップウォレットアプリをターゲットにしようとすることも示しています。この悪意のあるインフラは3月12日に特定され、関連する分析、緩和、検出措置は同日に完了しました。

SlowMistのセキュリティチームが発表した脅威情報によると、同社の脅威情報システムMistEyeはコミュニティからのフィードバックを受け、暗号ユーザーを対象とした活発なソーシャルエンジニアリング攻撃活動を発見しました。攻撃者はプロジェクトの協力を理由にターゲットユーザーに接触し、偽の「Harmony Voice」ソフトウェア（ドメイン：harmony-voice[.]app）を使用していわゆるリアルタイム翻訳を行うように誘導しますが、実際には悪意のあるプログラムです。SlowMistは関連する脅威情報（IOC）を企業顧客に同期しました。

攻撃者は、JavaScriptで最も人気のあるHTTPクライアントライブラリAxiosの主要メンテナーのnpmアクセス令牌を盗み、その令牌を利用してクロスプラットフォームのリモートアクセス型トロイの木馬（RAT）を含む2つの悪意のあるバージョン（[email protected]と[email protected]）を公開しました。これらはmacOS、Windows、Linuxシステムを対象としています。悪意のあるパッケージはnpmレジストリ上で約3時間生存した後に削除されました。セキュリティ会社Wizのデータによると、Axiosの週あたりのダウンロード数は1億回を超え、約80%のクラウドおよびコード環境に存在しています。セキュリティ会社Huntressは、悪意のあるパッケージが公開されてから89秒後に最初の感染を検出し、露出ウィンドウ期間内に少なくとも135のシステムが侵害されたことを確認しました。注目すべきは、Axiosプロジェクトは以前にOIDC信頼できる公開メカニズムやSLSAトレーサビリティ証明などの現代的なセキュリティ対策を導入していたにもかかわらず、攻撃者はこれらの防御を完全に回避しました。調査の結果、プロジェクトはOIDCを設定する際に従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存する場合、デフォルトで従来のトークンを優先して使用するため、攻撃者はOIDCを突破することなく公開を完了できました。

GoPlus Security の報告によると、Infiniti Stealer という名前の情報窃取マルウェアが "ClickFix" ソーシャルエンジニアリング攻撃手法を通じて、Mac ユーザーの暗号ウォレットや敏感な資格情報を狙っている。攻撃者は高度に模倣された Cloudflare の CAPTCHA ページを偽造し、ユーザーを誘導してターミナルを開かせ、手動で悪意のあるコマンドを貼り付けて実行させる。コマンドが実行されると、スクリプトは macOS の隔離属性を削除し、その後のペイロードを /tmp ディレクトリに静かに書き込んで実行する。最終的なペイロードは Nuitka でコンパイルされたネイティブ macOS バイナリファイルであり、セキュリティツールによる検出の難易度を大幅に引き上げる。Infiniti Stealer が展開されると、Chromium / Firefox ブラウザの資格情報、macOS キーチェーン、暗号ウォレット、開発者キー ファイル（.env ファイルなど）を盗むことができ、サンドボックス検出や遅延実行機能を備えて追跡を回避する。

Cryptopolitan の報道によると、GhostClaw という名前の新しいマルウェアが macOS デバイス上の暗号財布を標的にしています。このマルウェアは、合法的な OpenClaw CLI ツールに偽装しており、npm レジストリに一週間存在した後、178 人の開発者を感染させた後に削除されました。開発者が "npm install" コマンドを実行すると、隠されたスクリプトがグローバルに GhostClaw パッケージをインストールし、難読化された設定ファイルを通じて検出を回避します。GhostClaw は 3 秒ごとにクリップボードをスキャンし、秘密鍵、リカバリーフレーズ、公開鍵などの暗号財布や取引に関連するデータをキャプチャします。第2段階のペイロードがダウンロードされた後、GhostLoader は Chromium ブラウザ、macOS キーチェーン、およびシステムストレージ内の暗号財布データをスキャンし、ブラウザセッションをクローンしてログイン済みの財布へのアクセスを取得し、OpenAI や Anthropic などの AI プラットフォームに接続する API トークンを盗みます。盗まれたデータは Telegram、GoFile、およびコマンドサーバーを通じて攻撃者に送信されます。

ハッカーはGoogle Playストアを模倣したフィッシングページを通じて、ブラジルでAndroidマルウェア攻撃を開始しました。現在、すべての既知の被害者はブラジルにいます。攻撃者はGoogle Playに非常に似たフィッシングサイトを構築し、ユーザーに「INSS Reembolso」という偽のアプリをダウンロードさせるように誘導しました。このアプリがインストールされると、段階的に隠された悪意のあるコードが解放され、直接メモリにロードされて実行され、デバイス上に可視ファイルを残さず、非常に高い隠蔽性を持っています。マルウェアの主要な機能の一つは暗号通貨のマイニングであり、ARMデバイス用にコンパイルされたXMRigマイニングプログラムが内蔵されており、バックグラウンドで静かに攻撃者が制御するマイニングサーバーに接続します。このプログラムはバッテリー残量、温度、デバイスの使用状況を監視し、検出を回避するためにマイニングの動作を動的に調整し、静音の音声ファイルをループ再生することでAndroidシステムのバックグラウンドプロセス管理メカニズムを回避します。一部の亜種は銀行トロイの木馬も内蔵しており、BinanceやTrust WalletのUSDT送金画面に偽のページを重ねて静かに受取先アドレスを置き換えます。さらに、マルウェアは録音、スクリーンショット、キーボード記録、リモートロックなどの多くのリモートコントロール命令をサポートしています。

据慢雾科技首席信息安全官 23pds 披露，情报系统发现名为 "@openclaw-ai/openclawai" 的恶意 npm 包正在实施多层攻击。该恶意包伪装成名为 OpenClaw Installer 的合法命令行工具，旨在窃取用户敏感信息，包括系统凭证、加密钱包私钥、浏览器数据、SSH 密钥以及 Apple Keychain 数据库等。