マルウェア

慢雾の最高情報セキュリティ責任者 23pds が X プラットフォームで、node-ipc が再び侵害を受けたことを明らかにしました。公開された node-ipc の悪意のあるバージョン（9.1.6、9.2.3、12.1）は、同じ認証情報窃盗のペイロードを持っており、このパッケージは毎週 1,000 万回以上ダウンロードされています。

Decrypt の報道によると、マイクロソフトの脅威インテリジェンス部門は、攻撃者が PyPI プラットフォームを通じて配布される Mistral AI ソフトウェアパッケージに悪意のあるコードを埋め込んだことを明らかにしました。この悪意のあるコードは、開発者が Linux システムで使用する際に自動的に実行され、transformers.pyz という名前の悪意のあるファイルをダウンロードし、バックグラウンドで実行します。このファイル名は、広く使用されている Hugging Face Transformers ライブラリを模倣して視覚的に混乱させるように意図されています。マイクロソフトは、この悪意のあるソフトウェアが主に開発者のログイン資格情報とアクセストークンを盗むことを指摘し、ロシア語システムを回避することがあり、一部のコードはイスラエルまたはイランにあるデバイスのファイルをランダムに削除する可能性があると述べています。この攻撃は、9 月に開始された "Shai-Hulud" サプライチェーン攻撃活動に関連しています。Mistral は、調査の結果、攻撃が侵害された開発者のデバイスから発生したことを示しており、同社のインフラは侵害されていないと応じています。

ブロックチェーンセキュリティ機関 SlowMist (@SlowMist_Team) の脅威監視システム MistEye によると、「Mini Shai-Hulud」と呼ばれる高度に複雑な npm ワームが、TanStack、UiPath、DraftLab などの有名な開発者プロジェクトを通じて拡散しています。攻撃者は GitHub の認証情報をハイジャックし、合法的な更新を装った悪意のあるソフトウェアパッケージを公開し、その中に隠れたスクリプト router_init.js を埋め込み、GitHub Actions などの CI/CD 環境で静かに実行され、CI/CD キー、クラウドインフラストラクチャキー、暗号通貨ウォレット情報を専門に盗み、GitHub 自身のインフラストラクチャを利用してデータを外部に送信します。SlowMist は顧客に関連する脅威インテリジェンス (IOC) を同期し、影響を受けたソフトウェアパッケージを使用しているプロジェクトに対し、CI/CD パイプライン内に router_init.js ファイルが存在するかどうかを直ちに調査し、すべての露出した GitHub、クラウドサービス、暗号通貨の認証情報をローテーションし、開発環境内の異常なバックグラウンド活動を継続的に監視することを推奨しています。

市場の情報によると、マイクロソフトのセキュリティ研究チームは、攻撃者が2025年末から偽のmacOSトラブルシューティングガイドを公開し、ユーザーに悪意のある端末コマンドを実行させることで、暗号ウォレット、iCloudデータ、ブラウザに保存されたパスワードを盗むことを発見しました。これらの偽のガイドはMedium、Craft、Squarespaceなどのプラットフォームに公開されており、ディスクスペースの解放やシステムエラーの修正など、ユーザーの一般的な問題を対象にして、ユーザーに悪意のあるコマンドを端末にコピー＆ペーストさせるよう誘導します。このコマンドは自動的に悪意のあるソフトウェアをダウンロードして実行します。この手法はClickFixと呼ばれ、macOSのGatekeeperセキュリティメカニズムを回避します。なぜなら、被害者が自らコマンドを実行するからです。関与している悪意のあるソフトウェアファミリーにはAMOS、Macsync、SHub Stealerが含まれ、Exodus、Ledger、Trezorの暗号ウォレットキーや、ChromeとFirefoxに保存されたユーザー名とパスワードを盗むことができます。場合によっては、攻撃者が正当なウォレットアプリを削除し、トロイの木馬バージョンに置き換えることもあります。AppleはmacOS 26.4バージョンで、潜在的に悪意のあるコマンドのペーストを防ぐ保護機能を追加しました。

OpenSourceMalwareの研究によると、北朝鮮のハッカー集団Lazarusは「感染性面接」や「TaskJacker」などの開発者を狙った悪意のある活動に新しい手法を採用し、第二段階のローダーをGit Hooksのpre-commitスクリプトに隠しています。「感染性面接」は、この組織が偽の暗号通貨/DeFi分野の採用プロセスを通じて、開発者を悪意のあるコードリポジトリをクローンさせる一連の攻撃活動であり、最終的に暗号資産や資格情報を盗みます。研究者は、面接プロセスの一環としてコードリポジトリをクローンするよう求められた開発者に対し、このようなリスクに警戒するように勧めており、個人のブラウザ設定、SSHキー、暗号ウォレットをマウントしないように、隔離された環境で実行することを推奨しています。

慢雾のCISO @im23pds がXプラットフォームで発表したところによると、攻撃者は13のアカウントを利用して、Hugging FaceとClawHubに575の悪意のあるスキルを埋め込んだ。

フロントエンドクラウドプラットフォーム Vercel の CEO Guillermo Rauch はツイートで、チームが深刻なセキュリティ調査を完了し、分析範囲が約 1 PB の完全な Vercel ネットワークおよび API ログに及ぶことを報告しました。これは最初の Context.ai アカウント侵害事件をはるかに超えています。調査によると、攻撃者の活動範囲は Context.ai を超え、より広範囲にわたってマルウェアを配布しており、Vercel などのプラットフォームのアカウントキーを盗むことを目的としています。キーを取得すると、攻撃者は迅速かつ包括的に非機密環境変数を列挙します。現在講じられている対策には、Microsoft、AWS、Wiz などの業界パートナーとの協力を深め、より広範なインターネットエコシステムを共同で保護することが含まれています。また、他の疑わしい被害者に通知し、直ちに認証情報をローテーションし、セキュリティのベストプラクティスを強化することを推奨しています。

CoinDeskによると、CertiKの監視によれば、Lazarusグループは金融テクノロジーおよび暗号通貨業界の幹部を対象に「Mach-O Man」と呼ばれる攻撃を展開しています。この操作はClickFixのソーシャルエンジニアリング技術を利用し、虚偽のオンライン会議招待を送信することで、被害者にMac端末で修復指令を貼り付けさせ、会社および財務システムへのアクセス権を取得します。CertiKの研究者ナタリー・ニューソンは、Lazarusグループが過去2週間でDriftとKelpDAOを通じて5億ドル以上を盗んだと述べています。Mach-O ManはLazarusグループの傘下にあるChollima部門によって開発されたモジュラーmacOSマルウェアツールキットで、使用後に自動的に削除され、検出を回避します。さらに、攻撃者はDeFiプロジェクトのドメイン名をハイジャックし、虚偽のCloudflareメッセージに置き換える方法でこの攻撃を実施しています。

ブロックチェーンセキュリティ機関のSlowMistによる監視によれば、MistEyeはコミュニティからの脅威情報を受け取り、「MacSync Stealer」（v1.1.2）という名前の悪意のあるソフトウェアが活発であり、高度に破壊的であると報告しています。この悪意のあるソフトウェアはmacOSユーザーをターゲットにしており、暗号ウォレット、ブラウザの資格情報、システムキーチェーン、インフラストラクチャキー（SSH/AWS/K8s）などの機密データを盗みます。この悪意のあるソフトウェアは、偽のAppleScriptシステムダイアログを利用してフィッシングを行い、データ漏洩後に「サポートされていない」という偽のエラーメッセージを表示します。すでにこのIOC（指標）を顧客に即座に同期しました。検証されていないmacOSスクリプトを実行しないでください。また、予期しないシステムパスワードのプロンプトに対して高い警戒を保ってください。攻撃を受けた疑いがある場合は、直ちに対策を講じる必要があります：すべてのインフラストラクチャ資格情報（SSH/AWS/K8s）を変更し、露出したキーチェーンを無効にし、迅速に暗号資産を安全なウォレットに移動してください。

Bybitの安全運営センターは、検索AI開発ツールClaude CodeのmacOSユーザーに対する多段階のマルウェア攻撃活動を発見しました。攻撃者は検索エンジン最適化を利用して悪意のあるドメインをGoogle検索結果の上位に押し上げ、ユーザーを偽のインストールページに誘導し、ブラウザの認証情報、macOSキーチェーン、Telegramセッション、VPN設定、暗号ウォレット情報を盗みます。Bybitは、このマルウェアがバックドアを通じて持続的なアクセスを確立し、250以上のブラウザウォレット拡張機能や複数のデスクトップウォレットアプリをターゲットにしようとすることも示しています。この悪意のあるインフラは3月12日に特定され、関連する分析、緩和、検出措置は同日に完了しました。

SlowMistのセキュリティチームが発表した脅威情報によると、同社の脅威情報システムMistEyeはコミュニティからのフィードバックを受け、暗号ユーザーを対象とした活発なソーシャルエンジニアリング攻撃活動を発見しました。攻撃者はプロジェクトの協力を理由にターゲットユーザーに接触し、偽の「Harmony Voice」ソフトウェア（ドメイン：harmony-voice[.]app）を使用していわゆるリアルタイム翻訳を行うように誘導しますが、実際には悪意のあるプログラムです。SlowMistは関連する脅威情報（IOC）を企業顧客に同期しました。

攻撃者は、JavaScriptで最も人気のあるHTTPクライアントライブラリAxiosの主要メンテナーのnpmアクセス令牌を盗み、その令牌を利用してクロスプラットフォームのリモートアクセス型トロイの木馬（RAT）を含む2つの悪意のあるバージョン（axios@1.14.1とaxios@0.3.4）を公開しました。これらはmacOS、Windows、Linuxシステムを対象としています。悪意のあるパッケージはnpmレジストリ上で約3時間生存した後に削除されました。セキュリティ会社Wizのデータによると、Axiosの週あたりのダウンロード数は1億回を超え、約80%のクラウドおよびコード環境に存在しています。セキュリティ会社Huntressは、悪意のあるパッケージが公開されてから89秒後に最初の感染を検出し、露出ウィンドウ期間内に少なくとも135のシステムが侵害されたことを確認しました。注目すべきは、Axiosプロジェクトは以前にOIDC信頼できる公開メカニズムやSLSAトレーサビリティ証明などの現代的なセキュリティ対策を導入していたにもかかわらず、攻撃者はこれらの防御を完全に回避しました。調査の結果、プロジェクトはOIDCを設定する際に従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存する場合、デフォルトで従来のトークンを優先して使用するため、攻撃者はOIDCを突破することなく公開を完了できました。

GoPlus Security の報告によると、Infiniti Stealer という名前の情報窃取マルウェアが "ClickFix" ソーシャルエンジニアリング攻撃手法を通じて、Mac ユーザーの暗号ウォレットや敏感な資格情報を狙っている。攻撃者は高度に模倣された Cloudflare の CAPTCHA ページを偽造し、ユーザーを誘導してターミナルを開かせ、手動で悪意のあるコマンドを貼り付けて実行させる。コマンドが実行されると、スクリプトは macOS の隔離属性を削除し、その後のペイロードを /tmp ディレクトリに静かに書き込んで実行する。最終的なペイロードは Nuitka でコンパイルされたネイティブ macOS バイナリファイルであり、セキュリティツールによる検出の難易度を大幅に引き上げる。Infiniti Stealer が展開されると、Chromium / Firefox ブラウザの資格情報、macOS キーチェーン、暗号ウォレット、開発者キー ファイル（.env ファイルなど）を盗むことができ、サンドボックス検出や遅延実行機能を備えて追跡を回避する。

Cryptopolitan の報道によると、GhostClaw という名前の新しいマルウェアが macOS デバイス上の暗号財布を標的にしています。このマルウェアは、合法的な OpenClaw CLI ツールに偽装しており、npm レジストリに一週間存在した後、178 人の開発者を感染させた後に削除されました。開発者が "npm install" コマンドを実行すると、隠されたスクリプトがグローバルに GhostClaw パッケージをインストールし、難読化された設定ファイルを通じて検出を回避します。GhostClaw は 3 秒ごとにクリップボードをスキャンし、秘密鍵、リカバリーフレーズ、公開鍵などの暗号財布や取引に関連するデータをキャプチャします。第2段階のペイロードがダウンロードされた後、GhostLoader は Chromium ブラウザ、macOS キーチェーン、およびシステムストレージ内の暗号財布データをスキャンし、ブラウザセッションをクローンしてログイン済みの財布へのアクセスを取得し、OpenAI や Anthropic などの AI プラットフォームに接続する API トークンを盗みます。盗まれたデータは Telegram、GoFile、およびコマンドサーバーを通じて攻撃者に送信されます。

ハッカーはGoogle Playストアを模倣したフィッシングページを通じて、ブラジルでAndroidマルウェア攻撃を開始しました。現在、すべての既知の被害者はブラジルにいます。攻撃者はGoogle Playに非常に似たフィッシングサイトを構築し、ユーザーに「INSS Reembolso」という偽のアプリをダウンロードさせるように誘導しました。このアプリがインストールされると、段階的に隠された悪意のあるコードが解放され、直接メモリにロードされて実行され、デバイス上に可視ファイルを残さず、非常に高い隠蔽性を持っています。マルウェアの主要な機能の一つは暗号通貨のマイニングであり、ARMデバイス用にコンパイルされたXMRigマイニングプログラムが内蔵されており、バックグラウンドで静かに攻撃者が制御するマイニングサーバーに接続します。このプログラムはバッテリー残量、温度、デバイスの使用状況を監視し、検出を回避するためにマイニングの動作を動的に調整し、静音の音声ファイルをループ再生することでAndroidシステムのバックグラウンドプロセス管理メカニズムを回避します。一部の亜種は銀行トロイの木馬も内蔵しており、BinanceやTrust WalletのUSDT送金画面に偽のページを重ねて静かに受取先アドレスを置き換えます。さらに、マルウェアは録音、スクリーンショット、キーボード記録、リモートロックなどの多くのリモートコントロール命令をサポートしています。

据慢雾科技首席信息安全官 23pds 披露，情报系统发现名为 "@openclaw-ai/openclawai" 的恶意 npm 包正在实施多层攻击。该恶意包伪装成名为 OpenClaw Installer 的合法命令行工具，旨在窃取用户敏感信息，包括系统凭证、加密钱包私钥、浏览器数据、SSH 密钥以及 Apple Keychain 数据库等。

GoPlus 日本語コミュニティは X プラットフォームで警告を発表し、北朝鮮のハッカーが npm レジストリに 26 の悪意のあるパッケージを公開したと伝えています。これらの悪意のあるパッケージには、インストール中に自動的に実行されるインストールスクリプト ("install.js") が添付されており、"vendor/scrypt-js/version.js" にある悪意のあるコードを実行します。悪意のあるコードは、同じ悪意のある URL を通じてリモートアクセス型トロイの木馬（RAT）をダウンロードして実行し、キーボードの入力を記録したり、クリップボードを盗んだり、ブラウザの認証情報を収集したり、TruffleHog を使用して Git リポジトリの秘密をスキャンしたり、SSH キーを盗んだりするなどの悪意のある行為を実施します。この事件は、「Famous Chollima」と呼ばれる北朝鮮のハッカー活動に関連しています。

据 Cointelegraph 报道，黑客正利用 "ClickFix" 攻击手法窃取加密货币，最新两起攻击涉及冒充风险投资公司和劫持浏览器扩展程序。ネットセキュリティ会社 Moonlock Lab の報告によると、詐欺師は SolidBit、MegaBit、Lumax Capital などの偽の VC を装い、LinkedIn を通じてユーザーに協力の機会を提供し、偽の Zoom や Google Meet のリンクをクリックさせるように誘導しています。リンクをクリックすると、ユーザーは偽の Cloudflare "私はロボットではありません" 認証ボックスを含むページに誘導され、そのボックスをクリックすると悪意のあるコマンドがクリップボードにコピーされ、ユーザーにターミナルを開いていわゆる確認コードを貼り付けるように促され、攻撃が実行されます。Moonlock Lab は、この手法が被害者を実行メカニズムにし、セキュリティ業界の防御策を回避することを指摘しています。一方で、ハッカーは Chrome 拡張機能 QuickLens をハイジャックしてマルウェアを拡散しています。この拡張機能は、ユーザーがブラウザ内で直接 Google Lens 検索を実行できるようにし、所有権が譲渡された後の新しいバージョンには悪意のあるスクリプトが含まれており、ClickFix 攻撃を開始して情報を盗むことができます。この拡張機能は約 7000 人のユーザーがいて、ハイジャックされた後は暗号ウォレットのデータやリカバリーフレーズを検索して資金を盗むほか、Gmail の受信箱の内容、YouTube チャンネルのデータ、ウェブフォームに入力されたログイン資格情報や支払い情報を取得します。この拡張機能は Chrome ウェブストアから削除されました。ClickFix 技術は昨年からハッカーの間で流行しており、被害者に悪意のあるペイロードを手動で実行させ、世界中の数千の企業や複数の業界に影響を与えています。

GoPlus Security は、PromptSpy という新しい Android マルウェアに注意するようユーザーに警告しています。このマルウェアは、フィッシングサイト（銀行のウェブサイトを装ったものなど）を通じてユーザーに APK ファイルをダウンロードさせ、アクセシビリティ権限を取得した後にデバイスをリモートで制御します。PromptSpy の特異性は、Google Gemini API を利用してデバイスのインターフェースを分析し、攻撃戦略を策定することで、異なるスマートフォンブランドやシステムバージョンにより適応し、攻撃の隠密性と成功率を高める点にあります。

黒客は、Facebook上で偽のWindows 11更新広告を掲載することによって、暗号通貨ユーザーの資産を盗もうとしています。これらの広告は、専門的なMicrosoftブランドのロゴを使用しており、ユーザーがクリックするとクローンのMicrosoftウェブサイトに誘導され、その後マルウェアがダウンロードされます。このマルウェアは、被害者のコンピュータに「LunarApplication」というフレームワークをインストールし、暗号通貨ウォレットのシードフレーズ、ログイン資格情報、その他の機密情報を盗むことを目的としています。黒客は、地理的フェンシング技術を利用してデータセンターのIPアドレスを回避し、自動スキャナーによる攻撃の検出を防ぎます。