暗号通貨を盗む

据 Decrypt 报道，谷歌威胁情报组最新报告显示，已发现至少五种新型恶意软件正在利用大型语言模型 (LLM) 动态生成和隐藏恶意代码。其中，与朝鲜相关的黑客组织 UNC1069 被发现使用 Gemini 探测钱包数据并制作钓鱼脚本，意图盗取数字资产。这些恶意软件采用 "実時間コード生成" 技术，通过调用外部 AI 模型如 Gemini 或 Qwen 2.5-Coder 来规避传统安全检测。谷歌表示已禁用相关账户并加强了模型访问的安全措施。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、北ウェールズの警察は重大な暗号通貨盗難事件を調査しています。詐欺師が英国の高官を装い、210万ポンド（約280万ドル）のビットコインを成功裏に盗みました。警察は、これは「高度にターゲットを絞った進んだ詐欺」であり、詐欺師はデータ漏洩を通じて被害者の情報を取得した可能性があると述べています。詐欺師は、被害者の身分証明書を持つ容疑者を逮捕したと主張し、これによって恐怖と緊急感を煽り、被害者を誘導して提供されたリンクからコールドウォレットにログインさせました。被害者は警察の指示を実行していると信じて、巧妙に偽造されたウェブサイトにニーモニックフレーズを入力し、その結果、資金が盗まれました。

ChainCatcher のメッセージ、ネットワークセキュリティ会社 Moonlock が発表した警告によると、ハッカーは Ledger Live に偽装した悪意のあるクローンバージョンを配布することで攻撃を行っています。Ledger Live は、Ledger コールドウォレットを管理するために広く使用されているアプリケーションです。最初は、攻撃者はこのクローンアプリを通じてパスワード、メモ、ウォレット情報を盗むことができ、ユーザーのウォレット資産の状況を大まかに把握することができましたが、資金を直接引き出すことはできませんでした。しかし、わずか1年のうちに、彼らはリカバリーフレーズを盗む方法を学び、被害者のウォレットを盗むことができるようになりました。

ChainCatcher のメッセージによると、Decrypt の報道では、Socket 研究チームが新たな攻撃の中で、北朝鮮のハッカー組織 Lazarus が6つの新しい悪意のある npm ソフトウェアパッケージに関連していることを発見しました。これらのパッケージは、ユーザーの認証情報を盗むためのバックドアを展開しようとしています。さらに、これらのマルウェアは暗号通貨データを抽出し、Solana および Exodus 暗号ウォレット内の敏感な情報を盗むことができます。攻撃は主に Google Chrome、Brave、Firefox ブラウザのファイルおよび macOS のキーチェーンデータを対象としており、開発者が意図せずにこれらの悪意のあるパッケージをインストールするように仕向けています。今回発見された6つの悪意のあるソフトウェアパッケージは、is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency、auth-validator です。これらは「typosquatting」（スペルミスの名前を利用すること）を通じて開発者を騙してインストールさせます。APT 組織はそのうちの5つのパッケージのために GitHub リポジトリを作成し、合法的なオープンソースプロジェクトに偽装して、悪意のあるコードが開発者によって使用されるリスクを高めています。これらのパッケージは330回以上ダウンロードされています。現在、Socket チームはこれらのパッケージの削除を要求し、関連する GitHub リポジトリおよびユーザーアカウントを報告しました。Lazarus は悪名高い北朝鮮のハッカー組織であり、最近の14億ドルの Bybit ハッキング、4100万ドルの Stake ハッキング、2700万ドルの CoinEx ハッキング、そして暗号業界における無数の他の攻撃に関連しています。

ChainCatcher のメッセージによると、詐欺師がニューヨーカーから220万ドル相当の暗号通貨を盗む新しい求職詐欺を行っています。容疑者はSMSを通じてリモートワークの手助けをすると主張し、求職者にドルを暗号口座に預けるよう要求しました。被害者は、合法的なプラットフォーム（Coinbase、Geminiなど）で暗号通貨を購入し、その後、管理されていないデジタルウォレットに転送するよう指示されました。ニューヨーク州司法長官のレティシア・ジェームズは、凍結された暗号通貨の回収と詐欺師への責任追及を求めて訴訟を提起しました。調査によると、この詐欺は複数の司法管轄区にまたがっており、被害者はリモートワークを急いで探している人々が多いです。

ChainCatcher のメッセージ、ネットワークセキュリティ会社 Checkmarx の研究者は、Python パッケージインデックス（PyPI）にアップロードされた危険なマルウェアについて警告を発しました。このマルウェアは、プライベートキーを盗むもので、同社によれば、疑わしいユーザーによっていくつかの異なるパッケージを通じて自動的にアップロードされたもので、MetaMask、Atomic、TronLink、Ronin などの人気ウォレットやその他の業界の主流製品のデコードアプリケーションを模倣することを目的としています。このマルウェアは、パッケージのさまざまな部分に巧妙に埋め込まれています。これらのマルウェアは無害なコードに見えるため、基本的に検出が困難です。しかし、注意深く調査すると、無防備なユーザーがパッケージに埋め込まれた特定の機能を呼び出すと、データの特定の部分がハッカーに暗号通貨ウォレットを制御させ、資金を移動させることを許可します。

ChainCatcher のメッセージによると、TheBlock が報じたところによれば、フロリダ州の女性が Google を訴え、詐欺行為のある暗号通貨アプリ「Yobit Pro」を適時に削除しなかったと主張しています。この女性は、2023 年 2 月から 7 月の間に「Yobit Pro」アプリを通じて 460 万ドル以上の暗号通貨に投資し、7 月にはアカウントの残高が 700 万ドルに達したと述べています。しかし、彼女が出金を試みた際、アプリは彼女に 50 万ドルの「税金」を再度支払うよう要求しました。支払い後、アプリはさらに 200 万ドルの支払いを要求しました。この女性はその後、消費者金融保護局 (CFPB) に連絡し、CFPB は同日に苦情を Google に転送しました。しかし、Google はこのアプリを Google Play ストアから削除するのに 3 か月かかったとされています。この女性は、詐欺アプリを適時に処理できなかったために、Google に対して 500 万ドル以上の損失を被ったと主張しています。以前にも 5 人の他のユーザーが同様の経験をしたとされています。

ChainCatcher メッセージCointelegraph の報道によると、ネットワークセキュリティソリューションプロバイダーの Check Point Research が、Styx Stealer という新しいマルウェアを発見しました。このマルウェアは、クリッピングと呼ばれるメカニズムを通じて、大量のデータを盗むことができます。これには暗号通貨も含まれます。このマルウェアは、開発者のウェブサイトで無料でレンタル可能であり、昨年修正された Microsoft Windows Defender の脆弱性に依存しているため、最新のオペレーティングシステムを使用している Windows ユーザーはこのマルウェアの攻撃を受けることはありません。Check Point Research は、トルコの Styx Stealer 開発者に属すると推測される 8 つのウォレットを発見しました。この開発者は、マルウェアが稼働している最初の 2 ヶ月間に約 9,500 ドルの暗号通貨を報酬として受け取っています。Styx Stealer は 4 月に登場し、月額 75 ドル、終身で 350 ドルの料金がかかります。

ChainCatcher のメッセージによると、ロイターが関係者の話を引用して報じたところによれば、北朝鮮政府が支援するハッカー組織が6月下旬にアメリカのIT管理会社JumpCloudに侵入し、同社のシステムへのアクセス権を利用してその暗号通貨会社の顧客を狙い、さらに不明な数の暗号通貨会社に対して攻撃を仕掛けるための足がかりとしたとのことです。