ReversingLabs研究チームは最近、イーサリアムのスマートコントラクトを利用してマルウェアのURLを隠す攻撃活動を発見しました。研究によると、攻撃者はnpmパッケージのcolortoolv2とmimelib2を悪意のあるダウンローダーとして使用しています。これらのnpmパッケージはインストール後、イーサリアムスマートコントラクトをクエリして二段階マルウェアのコマンドとコントロール(C2)インフラ情報を取得します。ReversingLabsの研究者Lucija Valenticは、この攻撃手法が非常に創造的であり、これまでに見られたことがないと述べています。この攻撃者の手法は、従来のスキャンを回避することができ、これらのスキャンは通常、パッケージスクリプト内の疑わしいURLのみをマークするからです。## 脅威行為者が巧妙にマルウェアを隠すイーサリアムスマートコントラクトは公開されたブロックチェーン自動化プログラムです。この攻撃では、ハッカーがスマートコントラクトを利用してマルウェアを公の視界から隠しました。マルウェアのペイロードは単純なindex.jsファイルに隠されており、実行時にブロックチェーンに接続してC2サーバーの詳細を取得します。ReversingLabsの研究によれば、ダウンローダーパッケージはnpm上ではあまり一般的ではなく、ブロックチェーンホスティングの利用は検出回避技術が新たな段階に入ったことを示しています。**安全のヒント:** 開発者は、特に暗号通貨関連機能のライブラリを使用する際には、オープンソースライブラリに対して特に注意を払う必要があります。第三者の依存関係を導入する前に、徹底的なセキュリティ監査を行うことをお勧めします。## 攻撃者がGitHubリポジトリを偽造して信頼性を高める研究者はGitHubに対して広範なスキャンを行い、これらのnpmパッケージがSolana-trading-bot-v2、Hyperliquid-trading-bot-v2などの暗号通貨取引ボットを装ったリポジトリに埋め込まれていることを発見しました。これらのリポジトリは専門的なツールを装っており、複数回のコミット、コンテナ、スターを持っていますが、実際にはすべて架空のものです。研究によると、これらのリポジトリに対するコミットやフォークを行ったアカウントはすべて7月に作成されており、コーディング活動は何も示されていません。ほとんどのアカウントのリポジトリにはREADMEファイルが埋め込まれています。調査によると、コミット数は自動化プロセスによって人為的に生成されており、コーディング活動を誇張するために使用されています。たとえば、記録されたコミットのほとんどは、実質的な更新ではなく、ライセンスファイルの変更にすぎません。**安全の注意:** CEXユーザーおよび暗号通貨投資者は、GitHub上のオープンソースツールを使用する際に、スター数やコミット頻度などの表面的なデータだけでプロジェクトの信頼性を判断すべきではありません。コードの品質とメンテナンス状況を深く調査することをお勧めします。## イーサリアムブロックチェーンマルウェア埋め込みシグナル脅威検出の新しい段階今回発見された攻撃は、ブロックチェーンエコシステムに対する一連の攻撃の最新のものです。今年3月、ResearchLabsは他のマルウェアnpmパッケージも発見しました。これらは合法的なEthersパッケージを変更するためにリバースシェルコードを埋め込んでいます。研究によると、2024年にはマルウェアや証明書の漏洩など、さまざまな形態の暗号通貨に関連するサプライチェーンの事件が23件記録されました。今回の発見は、いくつかの古い手法を採用しているものの、イーサリアムのスマートコントラクトを新しいメカニズムとして導入しています。Valenticの研究者は、これが悪意のある行為者が検出を回避するための迅速な進化を強調しており、彼らがオープンソースプロジェクトや開発者環境に浸透するための新しい方法を常に模索していると指摘しています。**安全の啓示:** CEXプラットフォームとユーザーにとって、この種の新しい脅威は、スマートコントラクトの安全監査を強化し、悪用される可能性のある契約の監視を強化する必要があることを意味します。プラットフォームは、より厳格な第三者コードレビューのメカニズムを実施することを検討すべきです。npmパッケージcolortoolsv2とmimelib2はnpmから削除され、関連するGitHubアカウントも閉鎖されたにもかかわらず、この事件はソフトウェア脅威エコシステムの持続的な進化を浮き彫りにしています。それは、見た目には無害なブロックチェーン機能でさえもハッカーによって悪用され、潜在的なセキュリティリスクになる可能性があることを私たちに思い出させます。
芝麻开门
GDOG
GCAT
芝麻人生
LUCKY
ハッカーがイーサリアムのスマートコントラクトを利用してマルウェアを隠す:新型脅威分析
ReversingLabs研究チームは最近、イーサリアムのスマートコントラクトを利用してマルウェアのURLを隠す攻撃活動を発見しました。研究によると、攻撃者はnpmパッケージのcolortoolv2とmimelib2を悪意のあるダウンローダーとして使用しています。
これらのnpmパッケージはインストール後、イーサリアムスマートコントラクトをクエリして二段階マルウェアのコマンドとコントロール(C2)インフラ情報を取得します。ReversingLabsの研究者Lucija Valenticは、この攻撃手法が非常に創造的であり、これまでに見られたことがないと述べています。この攻撃者の手法は、従来のスキャンを回避することができ、これらのスキャンは通常、パッケージスクリプト内の疑わしいURLのみをマークするからです。
脅威行為者が巧妙にマルウェアを隠す
イーサリアムスマートコントラクトは公開されたブロックチェーン自動化プログラムです。この攻撃では、ハッカーがスマートコントラクトを利用してマルウェアを公の視界から隠しました。マルウェアのペイロードは単純なindex.jsファイルに隠されており、実行時にブロックチェーンに接続してC2サーバーの詳細を取得します。
ReversingLabsの研究によれば、ダウンローダーパッケージはnpm上ではあまり一般的ではなく、ブロックチェーンホスティングの利用は検出回避技術が新たな段階に入ったことを示しています。
安全のヒント: 開発者は、特に暗号通貨関連機能のライブラリを使用する際には、オープンソースライブラリに対して特に注意を払う必要があります。第三者の依存関係を導入する前に、徹底的なセキュリティ監査を行うことをお勧めします。
攻撃者がGitHubリポジトリを偽造して信頼性を高める
研究者はGitHubに対して広範なスキャンを行い、これらのnpmパッケージがSolana-trading-bot-v2、Hyperliquid-trading-bot-v2などの暗号通貨取引ボットを装ったリポジトリに埋め込まれていることを発見しました。これらのリポジトリは専門的なツールを装っており、複数回のコミット、コンテナ、スターを持っていますが、実際にはすべて架空のものです。
研究によると、これらのリポジトリに対するコミットやフォークを行ったアカウントはすべて7月に作成されており、コーディング活動は何も示されていません。ほとんどのアカウントのリポジトリにはREADMEファイルが埋め込まれています。調査によると、コミット数は自動化プロセスによって人為的に生成されており、コーディング活動を誇張するために使用されています。たとえば、記録されたコミットのほとんどは、実質的な更新ではなく、ライセンスファイルの変更にすぎません。
安全の注意: CEXユーザーおよび暗号通貨投資者は、GitHub上のオープンソースツールを使用する際に、スター数やコミット頻度などの表面的なデータだけでプロジェクトの信頼性を判断すべきではありません。コードの品質とメンテナンス状況を深く調査することをお勧めします。
イーサリアムブロックチェーンマルウェア埋め込みシグナル脅威検出の新しい段階
今回発見された攻撃は、ブロックチェーンエコシステムに対する一連の攻撃の最新のものです。今年3月、ResearchLabsは他のマルウェアnpmパッケージも発見しました。これらは合法的なEthersパッケージを変更するためにリバースシェルコードを埋め込んでいます。
研究によると、2024年にはマルウェアや証明書の漏洩など、さまざまな形態の暗号通貨に関連するサプライチェーンの事件が23件記録されました。
今回の発見は、いくつかの古い手法を採用しているものの、イーサリアムのスマートコントラクトを新しいメカニズムとして導入しています。Valenticの研究者は、これが悪意のある行為者が検出を回避するための迅速な進化を強調しており、彼らがオープンソースプロジェクトや開発者環境に浸透するための新しい方法を常に模索していると指摘しています。
安全の啓示: CEXプラットフォームとユーザーにとって、この種の新しい脅威は、スマートコントラクトの安全監査を強化し、悪用される可能性のある契約の監視を強化する必要があることを意味します。プラットフォームは、より厳格な第三者コードレビューのメカニズムを実施することを検討すべきです。
npmパッケージcolortoolsv2とmimelib2はnpmから削除され、関連するGitHubアカウントも閉鎖されたにもかかわらず、この事件はソフトウェア脅威エコシステムの持続的な進化を浮き彫りにしています。それは、見た目には無害なブロックチェーン機能でさえもハッカーによって悪用され、潜在的なセキュリティリスクになる可能性があることを私たちに思い出させます。