リモート

攻撃者は、JavaScriptで最も人気のあるHTTPクライアントライブラリAxiosの主要メンテナーのnpmアクセス令牌を盗み、その令牌を利用してクロスプラットフォームのリモートアクセス型トロイの木馬（RAT）を含む2つの悪意のあるバージョン（[email protected]と[email protected]）を公開しました。これらはmacOS、Windows、Linuxシステムを対象としています。悪意のあるパッケージはnpmレジストリ上で約3時間生存した後に削除されました。セキュリティ会社Wizのデータによると、Axiosの週あたりのダウンロード数は1億回を超え、約80%のクラウドおよびコード環境に存在しています。セキュリティ会社Huntressは、悪意のあるパッケージが公開されてから89秒後に最初の感染を検出し、露出ウィンドウ期間内に少なくとも135のシステムが侵害されたことを確認しました。注目すべきは、Axiosプロジェクトは以前にOIDC信頼できる公開メカニズムやSLSAトレーサビリティ証明などの現代的なセキュリティ対策を導入していたにもかかわらず、攻撃者はこれらの防御を完全に回避しました。調査の結果、プロジェクトはOIDCを設定する際に従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存する場合、デフォルトで従来のトークンを優先して使用するため、攻撃者はOIDCを突破することなく公開を完了できました。

慢雾の監視によると、Apifox デスクトップクライアントはサプライチェーン攻撃に遭い、その公式 CDN がホスティングするフロントエンドスクリプトファイルに高度に難読化された悪意のある JavaScript コードが注入されました。影響を受けたユーザーは、認証情報の盗難、機密データの漏洩、リモートコマンドの実行などのリスクに直面する可能性があり、悪意のあるコードは自動的に実行され、高度に隠蔽されています。慢雾はユーザーに対し、すべてのトークンを直ちに取り消し、パスワードをリセットし、ログアウトして再ログインしてセッションを無効にし、*.apifox.it.com ドメインをブロックし、ローカルストレージをクリアし、API ログと異常な活動を確認することを推奨しています。

GoPlus 日本語コミュニティは X プラットフォームで警告を発表し、北朝鮮のハッカーが npm レジストリに 26 の悪意のあるパッケージを公開したと伝えています。これらの悪意のあるパッケージには、インストール中に自動的に実行されるインストールスクリプト ("install.js") が添付されており、"vendor/scrypt-js/version.js" にある悪意のあるコードを実行します。悪意のあるコードは、同じ悪意のある URL を通じてリモートアクセス型トロイの木馬（RAT）をダウンロードして実行し、キーボードの入力を記録したり、クリップボードを盗んだり、ブラウザの認証情報を収集したり、TruffleHog を使用して Git リポジトリの秘密をスキャンしたり、SSH キーを盗んだりするなどの悪意のある行為を実施します。この事件は、「Famous Chollima」と呼ばれる北朝鮮のハッカー活動に関連しています。

GoPlus Security は、PromptSpy という新しい Android マルウェアに注意するようユーザーに警告しています。このマルウェアは、フィッシングサイト（銀行のウェブサイトを装ったものなど）を通じてユーザーに APK ファイルをダウンロードさせ、アクセシビリティ権限を取得した後にデバイスをリモートで制御します。PromptSpy の特異性は、Google Gemini API を利用してデバイスのインターフェースを分析し、攻撃戦略を策定することで、異なるスマートフォンブランドやシステムバージョンにより適応し、攻撃の隠密性と成功率を高める点にあります。

慢雾首席情報セキュリティ責任者 23pds は X プラットフォームで、"graphalgo" という名前の偽の採用活動がリモートアクセス型トロイの木馬（RAT）を利用して暗号通貨開発者を攻撃していると警告しています。

xAI は暗号通貨金融専門家（Crypto Finance Expert）を募集しています。時給は 45 ドルから 100 ドルで、この職種は完全リモート勤務です。このポジションの仕事内容は、量子暗号戦略における複雑な問題を解決することです。具体的には、オンチェーンデータと資金フローの分析、DeFi の収益と流動性モデリング、永続契約と資金費率戦略、CEX/DEX のクロスマーケットアービトラージ、暗号市場のミクロ構造と MEV 研究、機械学習駆動の暗号アルファ信号、そして 7×24 時間の高ボラティリティ市場におけるポートフォリオ管理とリスクコントロールを含みます。また、AI モデルのトレーニングとベンチマーク評価のために、テキスト、音声、動画形式で専門的な分析を提供する必要があります。候補者に求められる主要な資格：量子金融、コンピュータサイエンス、統計学などの関連分野での修士または博士の背景、または同等のレベルの量子暗号通貨トレーダー、システムストラテジスト、またはオンチェーンアナリストとしての専門的な経験。優れた英語の書面および口頭コミュニケーション能力、暗号通貨のデータソースとツールに精通し、優れた分析能力、細部への注意、情報が不完全な状況で合理的な判断を下す能力を持っていること。

据 The Hacker News 报道，Cyata 研究员披露 Anthropic 维护的 mcp-server-git 存在三项严重安全漏洞（CVE-2025-68143/44/45），可被利用执行路径穿越与参数注入，甚至实现远程代码执行。这些漏洞可通过提示注入被武器化，攻击者仅需控制 AI 助手读取恶意内容即可触发攻击。漏洞已在 2025 年 9 月与 12 月版本中修复，官方已移除 git_init 工具并增强路径校验，建议用户尽快更新至最新版。

Anthropic が管理する公式 mcp-server-git に 3 つのセキュリティ脆弱性が発見されました。これらの脆弱性は、プロンプトインジェクション攻撃手法を通じて悪用される可能性があり、攻撃者は被害者のシステムに直接アクセスすることなく、悪意のある README ファイルや損なわれたウェブページを介して脆弱性を引き起こすことができます。これらの脆弱性には、CVE-2025-68143（制限のない git_init）、CVE-2025-68145（パス検証のバイパス）、および CVE-2025-68144（git_diff におけるパラメータインジェクション）が含まれます。これらの脆弱性をファイルシステム MCP サーバーと組み合わせて使用すると、攻撃者は任意のコードを実行したり、システムファイルを削除したり、任意のファイル内容を大規模言語モデルのコンテキストに読み込むことができます。Cyata は、mcp-server-git が repo_path パラメータに対してパス検証を行っていないため、攻撃者がシステムの任意のディレクトリに Git リポジトリを作成できると指摘しています。さらに、.git/config にクリーンアップフィルターを設定することで、攻撃者は実行権限なしにシェルコマンドを実行することができます。Anthropic は 2025 年 12 月 17 日に CVE 番号を割り当て、修正パッチを提出しました。ユーザーには mcp-server-git を 2025.12.18 以降のバージョンに更新することを推奨します。

慢雾テクノロジーの最高情報セキュリティ責任者 23pds は X プラットフォームで、React/Next.js の最新のリモートコード実行脆弱性に新たな攻撃チェーンが出現したことを受けて、攻撃成功率が大幅に向上するだろうと述べました。現在、多くの DeFi プラットフォームが React を使用しており、この脆弱性の影響を受ける可能性が高いため、各 DeFi プラットフォームは必ずセキュリティリスクに注意する必要があります。

安全研究者は、北朝鮮のハッカーグループKONNIが新しい攻撃手法を開発し、初めてGoogleのFind Hub資産追跡機能を利用してAndroidデバイスに対してリモートデータ消去攻撃を実施したことを発見しました。攻撃者は、心理カウンセラーや人権活動家に偽装し、韓国のKakaoTalk通信プラットフォームで「ストレス解消プログラム」と呼ばれるマルウェアを配布しました。被害者がこれらのファイルを実行すると、攻撃者はGoogleアカウントの資格情報を盗み、Find Hub機能を利用してデバイスの位置を追跡し、リモートリセットを実行し、個人データが削除される結果となります。今回の攻撃はKONNI APT活動の後続行動として確認されており、この組織は北朝鮮政府が支援するKimsukyやAPT 37と密接に関連しています。セキュリティ専門家は、ユーザーにアカウントのセキュリティを強化し、二要素認証を有効にし、インスタントメッセージングツールを通じて受信したファイルに注意を払うように勧めています。

ChainCatcher のメッセージによると、Replit の CEO は、北朝鮮の IT リモートワーカー（ITW）が AI ツールを通じてアメリカのリモート職を獲得し、北朝鮮に収入をもたらしていると述べています。彼らはすでに数億ドルを稼いでいます。ブロックチェーンの探偵 ZachXBT は、北朝鮮の IT リモートワーカーが少なくとも 25 件の暗号業界の企業に対するハッキング攻撃または身代金要求事件に関与していると返信しました。関連する被害企業はすべて暗号分野の企業です。

ChainCatcher のメッセージによると、BusinessInsider の報道で、Coinbase の CEO ブライアン・アームストロングは、北朝鮮の IT 労働者が Coinbase を標的にしていると述べ、遠隔勤務を求める北朝鮮のハッカーに対抗するために対面でのトレーニングを強制しているとのことです。Coinbase は、すべての従業員にアメリカに赴いて現地トレーニングを受けるよう求めており、機密システムにアクセスできる人は、アメリカ市民であり、指紋認証を受ける必要があります。ブライアン・アームストロングは、Coinbase が潜在的な従業員に面接時にカメラをオンにするよう求めていると述べ、彼らが AI ではなく、指導を受けていないことを証明するためだとしています。

ChainCatcher のメッセージによると、一財の報道では、NVIDIA の計算力チップに深刻なセキュリティ問題があることが明らかになったことに対し、NVIDIA は次のように応答しました。「ネットワークセキュリティは私たちにとって非常に重要です。NVIDIA のチップには「バックドア」は存在せず、誰もこれらのチップにリモートアクセスや制御を行う手段はありません。」

ChainCatcher のメッセージ、イーサリアムの創設者ヴィタリックが ETH Beijing ハッカソンにリモート参加し、講演を行う。講演のテーマは「イーサリアムコンセンサスレイヤーのアップグレード（Beam Chain）」で、時間は5月17日午後2時（北京時間）。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、テクノロジー大手のマイクロソフトは、Google Chrome ブラウザ内の 20 種類の暗号通貨ウォレット拡張機能を標的とした新型リモートアクセス型トロイの木馬（RAT）を発見しました。このトロイの木馬は、暗号資産を盗むことを目的としています。マイクロソフトのインシデントレスポンスチームは、3 月 17 日のブログ記事で、昨年 11 月に「StilachiRAT」と呼ばれるこのマルウェアを初めて検出したことを明らかにしました。このソフトウェアは、ブラウザに保存された認証情報、デジタルウォレット情報、およびクリップボードデータを盗むことができます。展開後、攻撃者は StilachiRAT を利用して 20 種類の暗号通貨ウォレット拡張機能の設定情報をスキャンし、Coinbase Wallet、Trust Wallet、MetaMask、OKX Wallet などの暗号ウォレットデータを盗むことができます。マイクロソフトの分析によれば、「RAT 機能を含む StilachiRAT の WWStartupCtrl64.dll モジュールの研究は、ターゲットシステムから情報を盗むために多様な手段を採用していることを示しています。」他の機能に加えて、このマルウェアは Google Chrome のローカルステートファイルに保存された認証情報を抽出し、パスワードや暗号鍵などの機密情報を取得するためにクリップボードの活動を監視することができます。また、イベントログを消去したり、サンドボックス内で実行されているかどうかを確認したりすることで、分析の試みを阻止する検出回避および逆証拠機能も備えています。現在、マイクロソフトはこのマルウェアの背後にいる黒幕を特定できていませんが、情報を公開することで潜在的な被害者の数を減らすことを期待しています。マイクロソフトは、ユーザーが悪意のあるソフトウェアの被害者にならないように、デバイスにアンチウイルスソフトウェアをインストールし、クラウドベースのフィッシング対策およびマルウェア対策コンポーネントを使用することを推奨しています。

ChainCatcher のメッセージによると、Protos が報じたところによれば、開発者 "Calle" がライトニングネットワークに脆弱性があると警告しています。LND 0.18.5 または LITD 0.14.1 よりも古いバージョンのノードを使用している場合、安全上のリスクがあります。この脆弱性により、ハッカーはライトニングインボイスの支払い状態をリモートで操作し、資金を盗むことが可能です。Satoshi Labs の共同創設者 Pavol Rusnak も同様の警告を発し、ライトニングネットワークのユーザーにノードソフトウェアの早急な更新を促しています。LND 0.18.5 および LITD 0.14.1 バージョンではこの脆弱性が修正されていますが、LND 0.18.5 は先週リリースされたばかりで、多くのノードがまだ更新されておらず、リスクが残っています。

ChainCatcher のメッセージ、決済会社 Stripe が人材プラットフォーム Remote と提携し、Remote はその顧客が直接ステーブルコインを使用して契約者に支払うことを許可します。最初は Base 上で USDC を使用します。このサービスは最初にアメリカの顧客向けに提供され、69 カ国の契約者がほぼ即時の支払いまたはその現地通貨の代替支払いを受けることができます。

ChainCatcher のメッセージ、バイナンスの創設者である趙長鵬が X で教育プロジェクト Giggle Academy の最新情報を共有しました。彼は次のように述べています："私たちは現在、10 人のチームを持っています。一部はパートタイムで、一部はフルタイムです。すべてリモートで管理されています。私たちは毎週 3 回一緒に通話し、さらに臨時の小さなチャットも行っています。採用活動は常に行われています。私は毎週十数回の面接を行っています。私たちの最初の目標は 15 人のチームを作ることです。私たちは最初の英語の音声授業の内容を確定し、現在制作中です。制作過程でいくつかの調整を行いました。私たちは最初にウェブ版を制作するつもりはありません。まずは Android バージョンを制作します。いくつかの理由があります。私たちのターゲット市場では、Android は家庭がノートパソコンを購入する前に最初に購入するデバイスである可能性があります。スマートフォンもタッチスクリーンを備えており、子供たちがより簡単にインタラクションできます。また、プッシュ通知もあります。"

ChainCatcher のメッセージによると、コミュニティの情報では、本日、複数の暗号コミュニティのメンバーが自分の秘密鍵が盗まれたと報告しており、この状況はビットフィンガーブラウザの使用によるものではないかと推測されています。これに対し、ビットフィンガーブラウザの公式はコミュニティで、WPS For Windows の一部バージョンにリモートコード実行の脆弱性が存在すると述べており、攻撃者はこの脆弱性を利用して被害者のターゲットホスト上で任意のコードを実行し、ホストを制御することができるとしています。現在知られている影響を受けるバージョンには、WPS Office 2023 個人版 12.1.0.15120 未満（含む）、WPS Office 企業版（プロフェッショナル版、プロフェッショナル強化版など）11.8.2.12055 未満（含む）が含まれます。この脆弱性は比較的容易に発生し、ユーザーが不明なリンクをクリックした後にハッカーの攻撃を受ける可能性があります。

ChainCatcher のメッセージ、SlowMist の最高情報セキュリティ責任者 23pds がツイートしました。WinRAR にリモートコード実行の脆弱性（CVE-2023-40477）が存在します。攻撃者はターゲットを悪意のあるページに誘導するか、単に悪意のあるファイルを開くだけでこの脆弱性を利用してコードを実行できます。一度ユーザーが実行すると、ハッカーがあなたのコンピュータを制御する可能性があります。暗号通貨ユーザーはアップグレードに注意し、現在出現しているいわゆる「WinRAR 脆弱性検出ツール」も悪意のあるフィッシングプログラムであるため、資金リスクに注意してください。