悪意のあるコード

Decrypt の報道によると、マイクロソフトの脅威インテリジェンス部門は、攻撃者が PyPI プラットフォームを通じて配布される Mistral AI ソフトウェアパッケージに悪意のあるコードを埋め込んだことを明らかにしました。この悪意のあるコードは、開発者が Linux システムで使用する際に自動的に実行され、transformers.pyz という名前の悪意のあるファイルをダウンロードし、バックグラウンドで実行します。このファイル名は、広く使用されている Hugging Face Transformers ライブラリを模倣して視覚的に混乱させるように意図されています。マイクロソフトは、この悪意のあるソフトウェアが主に開発者のログイン資格情報とアクセストークンを盗むことを指摘し、ロシア語システムを回避することがあり、一部のコードはイスラエルまたはイランにあるデバイスのファイルをランダムに削除する可能性があると述べています。この攻撃は、9 月に開始された "Shai-Hulud" サプライチェーン攻撃活動に関連しています。Mistral は、調査の結果、攻撃が侵害された開発者のデバイスから発生したことを示しており、同社のインフラは侵害されていないと応じています。

市場の情報によると、Socket は npm コアパッケージ axios の 1.14.1 バージョンが活発なサプライチェーン攻撃に遭遇したことを検出しました。攻撃者は悪意のある依存パッケージを注入し、axios に悪意のあるコードを埋め込みました。axios を使用している開発者は、すぐにバージョンを固定し、プロジェクトのロックファイルを確認することをお勧めします。

GoPlus Security が発表したセキュリティ警告によると、Silverfort のセキュリティ研究者は OpenClaw のスキルリポジトリ ClawHub に深刻な脆弱性を発見しました。攻撃者は内部関数 downloads:increment を呼び出すことで、すべての防御機構を回避し、単一の curl リクエストで数分以内にダウンロード数を 2 万回以上に増やすことができ、悪意のあるコードを含むスキルを検索ランキングの第一位に押し上げ、ユーザーや AI エージェントに自動的にインストールさせることができます。悪意のあるスキルが実行されると、暗号財布や API キーなどの敏感なデータを盗むことができます。現在、この脆弱性は 24 時間以内に修正されました。GoPlus はユーザーに対し、高いダウンロード数が安全を意味するわけではないと警告し、AgentGuard を使用して安全スキャンと防御を行うことを推奨しています。

慢雾の監視によると、Apifox デスクトップクライアントはサプライチェーン攻撃に遭い、その公式 CDN がホスティングするフロントエンドスクリプトファイルに高度に難読化された悪意のある JavaScript コードが注入されました。影響を受けたユーザーは、認証情報の盗難、機密データの漏洩、リモートコマンドの実行などのリスクに直面する可能性があり、悪意のあるコードは自動的に実行され、高度に隠蔽されています。慢雾はユーザーに対し、すべてのトークンを直ちに取り消し、パスワードをリセットし、ログアウトして再ログインしてセッションを無効にし、*.apifox.it.com ドメインをブロックし、ローカルストレージをクリアし、API ログと異常な活動を確認することを推奨しています。

慢雾科技首席情報セキュリティ責任者 23pds が X プラットフォームでコミュニティユーザーのツイートをリツイートし、ある Polymarket のフォロートレーディングボットプログラムの開発者が GitHub コードに悪意のあるコードを隠していることを示しました。プログラムを起動すると、自動的にユーザーの ".env" ファイル（そこにはウォレットの秘密鍵が含まれています）を読み取り、その後、秘密鍵をハッカーのサーバーに送信し、秘密鍵を盗むことになります。このプログラムの作者は繰り返し修正を行い、何度も GitHub にコードを提出し、悪意のあるパッケージを故意に隠しています。23pds は、このような手法に警戒する必要があると述べ、「初めてではなく、最後でもない」と警告しています。

慢雾余弦 @evilcos は、Web3 求職者が面接中に悪意のあるコードトラップに遭遇したと警告しています。事件では、攻撃者が @seracleofficial を装い、求職者に Bitbucket 上のコードをレビューして実行するよう要求しました。被害者がコードをクローンした後、プログラムは直ちにローカルのすべての .env ファイルをスキャンし、秘密鍵などの敏感な情報を盗みました。慢雾側は、このようなバックドアは典型的なスティーラーに属し、ブラウザに保存されたパスワード、暗号ウォレットのリカバリーフレーズや秘密鍵などのプライバシーデータを収集できると指摘しています。専門家は、疑わしいコードのレビューに関与する場合は、必ず隔離された環境で操作し、実際のデバイスで直接実行して攻撃を受けることを避けるべきだと強調しています。

慢雾余弦 @evilcos は、Web3 求職者が面接中に悪意のあるコードの罠に遭遇したと警告しています。事件では、攻撃者が @seracleofficial を装い、求職者に Bitbucket 上のコードをレビューして実行するよう要求しました。被害者がコードをクローンした後、プログラムは直ちにローカルのすべての .env ファイルをスキャンし、秘密鍵などの敏感な情報を盗みました。慢雾側は、このようなバックドアは典型的なスティーラーに属し、ブラウザに保存されたパスワード、暗号ウォレットのリカバリーフレーズや秘密鍵などのプライバシーデータを収集できると指摘しています。専門家は、疑わしいコードのレビューに関与する場合は、必ず隔離された環境で操作し、実際のデバイスで直接実行して攻撃を受けることを避けるべきだと強調しています。

ChainCatcher のメッセージ、オンチェーン探偵 ZachXBT が明らかにしたところによると、Steam ゲーム BlockBlasters に悪意のあるコードが含まれており、約 15 万ドルの暗号資産の損失を引き起こしたとのことです。このゲームは Steam プラットフォームで 1 か月以上ダウンロードが許可されています。

ChainCatcher のメッセージ、SlowMist の CISO @im23pds がツイートで ChromeV8 エンジンの脆弱性 CVE-2025-6554 を警告しています。この脆弱性により、攻撃者は巧妙に構築されたウェブページを通じて悪意のあるコードを実行することができます。現在、関連する PoC が公開されており、悪用されています。ユーザーはアップグレードに注意し、フィッシング攻撃による資産損失を避ける必要があります。

ChainCatcher のメッセージによると、公式の発表で CoinMarketCap が X プラットフォームで投稿し、ウェブサイトから悪意のあるコードを特定して削除したことを示しています。チームは引き続き調査を行い、安全性を強化するための措置を講じています。以前の情報では、CoinMarketCap の公式サイトに「ウォレットを確認する」という悪意のあるポップアップが表示され、公式はユーザーにウォレットをリンクしないようにとのツイートを発表しました。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、WinterMute は CrimeEnjoyor を発表しました。これは、ユーザーを新しいウォレット窃盗戦略から保護するために、イーサリアムの委任契約内の悪意のあるコードを警告するコードです。

ChainCatcher のメッセージによると、暗号コミュニティのメンバー Cat（@0xCat_Crypto）が明らかにしたところによれば、ある Web3 スタートアッププロジェクトがスマートコントラクトコードにハードコーディングされた承認ウォレットアドレスを含んでいたため、数十万 USDT が転送されました。事件では、ある従業員が提出したコントラクトコードに疑わしい点がありましたが、その従業員は関連コードを作成したことを否定し、悪意のあるコードは人工知能プログラミングアシスタントによって自動生成され、十分な審査を受けていないと主張しています。現在、関与しているウォレットの帰属は確認できず、コードの作成主体も特定が難しい状況です。SlowMist の余弦は、初期調査の結果、Cursor と Claude 3.7 モデルを使用した環境下で、AI が自動補完したアドレスが関与する悪意のあるアドレスと一致しないことを示し、AI コード生成による悪用の可能性を排除しました。この悪意のあるアドレスはスマートコントラクトの所有者権限を持っており、プロジェクト側の資金が完全に転出される結果となりました。

ChainCatcher のメッセージによると、SlowMist が X プラットフォームで発表したところによれば、Safe の開発者のデバイスが侵害され、悪意のあるコードがフロントエンドに注入され、攻撃が取引パラメータを傍受して変更しました。迅速な確認の結果、Safe フロントエンドの js ファイルの背後に確かに悪意のあるコードが存在することが判明し、関連アドレス（0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516）は ByBit の 15 億資産を巻き上げる悪意のある実行契約に関与しています。

ChainCatcher のメッセージ、Bybit の共同創設者兼 CEO Ben Zhou は X プラットフォームで Sygnia と Verichains によって提供されたハッカー鑑識報告を発表しました。この報告では、悪意のあるコードが UTC 時間 2 月 19 日 15:29:25 に展開されたことが明らかにされており、特に Bybit のイーサリアム マルチシグ コールドウォレットを標的としています。

ChainCatcher のメッセージ、AabyssTeam の創設者が X でセキュリティ警告を発表しました。Cyberhaven セキュリティ会社がフィッシングメール攻撃を受け、その結果、公開したブラウザプラグインに悪意のあるコードが埋め込まれ、ユーザーのブラウザ Cookie やパスワードを読み取ろうとしています。後続のコード分析により、複数のブラウザプラグインが攻撃を受けていることが判明し、Proxy SwitchyOmega (V3) などが含まれています。これらのプラグインは Google ストアで 50 万人のユーザーに影響を与えており、現在注目されています。慢雾の創設者余弦はその警告を転送し、この種の攻撃は OAuth2 攻撃チェーンを使用しており、「ターゲットブラウザ拡張」の開発者から「拡張の公開権限」を取得した後、バックドア付きのプラグイン拡張の更新を公開することを示しています。ブラウザを起動するたびに、または拡張を再度開くたびに自動的に更新がトリガーされる可能性があり、バックドアの埋め込みは気づきにくいです。ウォレット拡張プログラムの発行者に対して、決して油断しないように警告しています。

ChainCatcher のメッセージによると、Scam Sniffer の監視により、KlapAI がハッカーに侵入され、フロントエンドに悪意のあるコードが注入されたことが確認されました。ユーザーは慎重に使用し、フィッシングリスクを避けるようにしてください。

ChainCatcher のメッセージによると、Ledger はソーシャルプラットフォームで、正規の Ledger Connect Kit 1.1.8 バージョンが現在プッシュされたと発表しました。Ledger と WalletConnect は、悪意のあるコードが無効化されたことを確認しました。ユーザーは安全に Ledger Connect Kit を使用できますが、ユーザーには 24 時間待機し、ブラウザのキャッシュをクリアすることを推奨します。以前、ハッカーは Ledger Connect Kit の脆弱性を利用して約 48.4 万ドルの資産を盗みました。SlowMist の創設者である余弦は、Ledger ウォレット自体は影響を受けておらず、影響を受けているのは Ledger というモジュールに依存しているいくつかの DApp であると強調しました。

ChainCatcher のメッセージ、Web3 反詐欺サービスプロバイダー Scam Sniffer がソーシャルメディアで発表したところによると、Ledger は悪意のあるコードを削除するためにコードベースを 1.18 バージョンに更新しました。ChainCatcher は、現在 dApp と安全に相互作用できるかどうかは一時的に不明であるため、ユーザーに慎重に操作するように促しています。

ChainCatcher のメッセージによると、SlowMist の創設者である余弦氏が X プラットフォーム上で、最近 http://friend.tech ( ft ) に対するアカウントハッキングの悪意のあるコードが出現したと述べています。詐欺師はターゲットユーザーにこのコードをブックマークとして追加するように誘惑します。ユーザーが ft ページにアクセスすると、ブックマークが実行されると、悪意のあるコードがユーザーのパスワード（つまり ft の 2FA）を盗むように誘導し、ft およびその使用している埋め込みウォレット Privy に関連するトークンを盗みます。これは、ユーザーの ft アカウントおよび関連資金が盗まれることを意味します。