盗む

慢雾の最高情報セキュリティ責任者 23pds が X プラットフォームで、node-ipc が再び侵害を受けたことを明らかにしました。公開された node-ipc の悪意のあるバージョン（9.1.6、9.2.3、12.1）は、同じ認証情報窃盗のペイロードを持っており、このパッケージは毎週 1,000 万回以上ダウンロードされています。

ブロックチェーンセキュリティ機関 SlowMist (@SlowMist_Team) の脅威監視システム MistEye によると、「Mini Shai-Hulud」と呼ばれる高度に複雑な npm ワームが、TanStack、UiPath、DraftLab などの有名な開発者プロジェクトを通じて拡散しています。攻撃者は GitHub の認証情報をハイジャックし、合法的な更新を装った悪意のあるソフトウェアパッケージを公開し、その中に隠れたスクリプト router_init.js を埋め込み、GitHub Actions などの CI/CD 環境で静かに実行され、CI/CD キー、クラウドインフラストラクチャキー、暗号通貨ウォレット情報を専門に盗み、GitHub 自身のインフラストラクチャを利用してデータを外部に送信します。SlowMist は顧客に関連する脅威インテリジェンス (IOC) を同期し、影響を受けたソフトウェアパッケージを使用しているプロジェクトに対し、CI/CD パイプライン内に router_init.js ファイルが存在するかどうかを直ちに調査し、すべての露出した GitHub、クラウドサービス、暗号通貨の認証情報をローテーションし、開発環境内の異常なバックグラウンド活動を継続的に監視することを推奨しています。

Andrej Karpathy は X プラットフォームで、litellm が PyPI サプライチェーン攻撃に遭ったと発表しました。pip install litellm を実行するだけで、SSH キー、AWS/GCP/Azure 認証情報、Kubernetes 設定、git 認証情報、環境変数、暗号ウォレット、SSL プライベートキー、CI/CD キー、およびデータベースパスワードを盗むことができます。litellm の月間ダウンロード数は 9700 万回に達し、litellm に依存するすべてのプロジェクト、例えば dspy にリスクが広がる可能性があります。悪意のあるコードが埋め込まれたバージョンのオンライン時間は約 1 時間未満で、攻撃コードに欠陥があったため、Callum McMahon のマシンのメモリが枯渇してクラッシュしたことで発見されました。Andrej Karpathy は、サプライチェーン攻撃が現代のソフトウェアにおける最も脅威的な問題であり、依存関係をインストールするたびに依存ツリーの深いところに改ざんされたパッケージが導入される可能性があるため、依存関係を減らし、LLM を使用して直接シンプルな機能を実現することにますます傾いていると述べています。

市場の情報によると、プライバシー機能で知られるビットコインウォレット Samourai Wallet のドメイン名がアメリカ連邦捜査局に押収された後、現在は詐欺師によって管理され、フィッシングサイトをホスティングしてビットコインを盗むために使用されています。ドメインの記録によると、このサイトはプライバシー保護サービスを通じて登録されており、現在の所有者の身元は不明です。複数の X プラットフォームユーザーがドメイン登録業者 NameCheap に対して、このフィッシングサイトの閉鎖を要求して報告しましたが、まだ返答は得られていません。

市場の情報によると、安全プラットフォーム OX Security が発表したところによれば、AI エージェントプロジェクト OpenClaw の開発者が暗号通貨フィッシング活動の標的になっているとのことです。攻撃者は偽の GitHub アカウントを作成し、攻撃者が管理するリポジトリで議題を立て、数十名の開発者に @ を付けて、5000 ドルの CLAW トークン報酬を獲得したと主張し、openclaw.ai とほぼ完全に同じクローンサイトに誘導しています。このフィッシングサイトには「ウォレットを接続」するボタンが追加されており、接続されたウォレットの資産を盗むことを目的としています。悪意のあるコードは、深く難読化された JavaScript ファイルに隠されており、証拠分析を妨げるためにブラウザのローカルストレージデータを消去する「nuke」機能を備えています。また、ウォレットアドレスや取引額などの情報をエンコードして C2 サーバーに送信します。研究者は、盗まれた資金を受け取るために使用される疑いのある暗号ウォレットアドレスを特定しました。関連アカウントは先週作成され、数時間以内に削除されましたが、現在確認された被害者はいません。OpenClaw はその高い注目度から詐欺師の標的となっており、その Discord コミュニティも以前に大量の暗号通貨スパムに直面しています。以前の情報では、OpenClaw の創設者が、OpenClaw の名を騙って送信される暗号通貨詐欺メールに警戒するようにと警告しています。

据慢雾科技首席信息安全官 23pds 披露，情报系统发现名为 "@openclaw-ai/openclawai" 的恶意 npm 包正在实施多层攻击。该恶意包伪装成名为 OpenClaw Installer 的合法命令行工具，旨在窃取用户敏感信息，包括系统凭证、加密钱包私钥、浏览器数据、SSH 密钥以及 Apple Keychain 数据库等。

安全研究機関 Ctrl-Alt-Intel が、北朝鮮に関連する疑いのあるハッカーグループが、ステーキングプラットフォーム、取引所ソフトウェアプロバイダー、暗号取引所に対して攻撃を仕掛けたことを明らかにしました。攻撃者は、React2Shell 脆弱性（CVE-2025-55182）および取得した AWS アクセス資格情報を利用してクラウド環境に侵入し、S3、EC2、RDS、EKS、ECR などのリソースを列挙し、Secrets Manager、Terraform ファイル、Kubernetes 設定、Docker コンテナからキーと資格情報を抽出しました。研究者によると、攻撃者は 5 つの Docker イメージをダウンロードし、ChainUp 顧客関連のソフトウェアコンポーネントを含むソースコードを盗みました。攻撃インフラストラクチャには、韓国のサーバー 64.176.226[.]36 およびドメイン itemnania[.]com が含まれています。報告書は、この活動が北朝鮮に関連する攻撃の特徴と一致していると述べていますが、帰属の信頼度は中程度であり、AWS 資格情報の出所は明確ではありません。

ネットワークセキュリティ機関 Moonlock Lab は、暗号ハッカーが最近「ClickFix」攻撃手法をアップグレードし、リスク投資機関を装ってソーシャルプラットフォームを通じてターゲットユーザーに接触し、悪意のあるコードを実行させて暗号資産を盗むことを報告しました。攻撃者は、SolidBit、MegaBit、Lumax Capital などの偽のベンチャーキャピタル機関を装い、LinkedIn を通じて協力の招待を送り、被害者を偽の Zoom または Google Meet 会議リンクに誘導します。ページには偽の Cloudflare「私はロボットではありません」検証ボタンが埋め込まれており、クリックすると悪意のあるコマンドがクリップボードにコピーされ、ユーザーがターミナルに貼り付けて実行するように誘導され、攻撃が完了します。研究者は、この方法が「被害者自身にコマンドを実行させる」ことで従来のセキュリティ防護機構を回避していると指摘しています。一方、ハッカーはブラウザ拡張機能をハイジャックして攻撃を実施しています。ネットワークセキュリティ会社 Annex Security の創設者 John Tuckner は、Chrome プラグイン QuickLens が 2 月 1 日に所有権を変更した後、2 週間後に悪意のあるスクリプトを含む新しいバージョンをリリースし、ClickFix 攻撃を引き起こしてユーザーデータを盗んだことを明らかにしました。このプラグインは約 7,000 人のユーザーがいて、現在はストアから削除されています。報告によると、ハイジャックされた拡張機能は暗号ウォレットのデータやリカバリーフレーズをスキャンし、Gmail の内容、YouTube チャンネルのデータ、ウェブログインや支払い情報を取得します。

据 Cointelegraph 报道，黑客正利用 "ClickFix" 攻击手法窃取加密货币，最新两起攻击涉及冒充风险投资公司和劫持浏览器扩展程序。ネットセキュリティ会社 Moonlock Lab の報告によると、詐欺師は SolidBit、MegaBit、Lumax Capital などの偽の VC を装い、LinkedIn を通じてユーザーに協力の機会を提供し、偽の Zoom や Google Meet のリンクをクリックさせるように誘導しています。リンクをクリックすると、ユーザーは偽の Cloudflare "私はロボットではありません" 認証ボックスを含むページに誘導され、そのボックスをクリックすると悪意のあるコマンドがクリップボードにコピーされ、ユーザーにターミナルを開いていわゆる確認コードを貼り付けるように促され、攻撃が実行されます。Moonlock Lab は、この手法が被害者を実行メカニズムにし、セキュリティ業界の防御策を回避することを指摘しています。一方で、ハッカーは Chrome 拡張機能 QuickLens をハイジャックしてマルウェアを拡散しています。この拡張機能は、ユーザーがブラウザ内で直接 Google Lens 検索を実行できるようにし、所有権が譲渡された後の新しいバージョンには悪意のあるスクリプトが含まれており、ClickFix 攻撃を開始して情報を盗むことができます。この拡張機能は約 7000 人のユーザーがいて、ハイジャックされた後は暗号ウォレットのデータやリカバリーフレーズを検索して資金を盗むほか、Gmail の受信箱の内容、YouTube チャンネルのデータ、ウェブフォームに入力されたログイン資格情報や支払い情報を取得します。この拡張機能は Chrome ウェブストアから削除されました。ClickFix 技術は昨年からハッカーの間で流行しており、被害者に悪意のあるペイロードを手動で実行させ、世界中の数千の企業や複数の業界に影響を与えています。

アメリカ財務省海外資産管理局（OFAC）は、ロシアのサイバーセキュリティ会社Operation Zeroおよびその責任者Sergey Sergeyevich Zelenyukに対して制裁を発表しました。これは、同社が暗号通貨を通じてアメリカの商業機密窃盗活動を資金提供しているとされるためです。今回の制裁には、他に5名の関連個人も含まれており、彼らはネットワーク攻撃ツールを利用してアメリカの国家安全保障を脅かすとされています。この行動は、昨年のアメリカ司法省の調査に基づいています。オーストラリア市民のPeter Williamsは、彼が勤務していたアメリカの防衛請負業者から専有ソフトウェアを盗み出し、数百万ドルの暗号資産を報酬としてOperation Zeroに機密情報を渡したことを認めています。Williamsは、2件の商業機密窃盗罪に有罪を認めました。アメリカ財務省は、Operation Zeroが主に脆弱性悪用ツール（exploits）の取引を行っており、これらのツールはソフトウェアの脆弱性を利用して不正アクセスを取得したり、データを盗んだり、デバイスを制御したりすることができると述べています。同社はまた、攻撃を実行した者に報酬を支払う報奨制度を通じて資金を提供しています。財務長官のScott Bessentは、誰かがアメリカの商業機密を盗んだ場合、アメリカ政府は責任を追及し、敏感な技術と国家安全保障を引き続き保護すると述べています。

慢雾の創設者余弦が安全に関する警告を発表しました。現在、OpenClawのClawHubマーケットでは1,184個の悪意のあるスキルが発見されており、これらのスキルはSSHキー、暗号ウォレット、ブラウザのパスワードを盗み、リバースシェルを開く可能性があります。たった一人の攻撃者が677個のパッケージをアップロードしました。ランキング1位のスキルには9つの脆弱性が存在し、ダウンロード数は数千回に達しています。余弦はユーザーに対し、テキストはもはやテキストではなく、指令であると警告しています。AIツールは独立した環境で使用することを推奨し、多くのOpenClawスキルには潜在的なリスクが存在します。さらに、Web3のセキュリティにおける契約は一部に過ぎず、本当の事故の原因はすでに契約だけではありません。数日前、Moonwellが178万ドルを盗まれた事件では、欠陥コードがCo-Authored-By：Claude Opus 4.6から来ています。

暗号 KOL、Rollbit パートナーの Alex Wice は X プラットフォームで、Ryan Salame が SBF を証言することを拒否したために投獄されたと述べ、これはアメリカの司法制度の欠陥を反映していると発言しました。Alex Wice は、SBF が裁判で証拠を提供する権利を奪われ、裁判官 Kaplan が「弁護士の助言に依存する」という理由を弁護として認めず、支払い能力やサービス条項に関する証拠を排除したと考えています。Alex Wice は、裁判の物語が検察と Sullivan & Cromwell によって考案された虚構であり、すべての責任を SBF に押し付けることを目的としていると指摘しました。実際、FTX は破産時にごくわずかな資金の不足しかなく、SBF は管理上の過失があったものの、詐欺の意図はなく、常に FTX の運営を維持して顧客に返済しようと努めていました。彼は、SBF が破産協定に署名しなければ、FTX の顧客はより早く返済を受けられたかもしれないと考えています。Alex Wice は Ryan Salame と SBF の解放を呼びかけました。この件に関して、SBF の X プラットフォームアカウントは次のように応答しました。「基本的に上記のすべての意見に同意します。しかし、FTX は決して破産していません。私は破産を申請したことはありません。弁護士たちが会社を引き継ぎ、4 時間後に彼らは会社の財産を盗むために虚偽の破産申請を提出しました。」

据慢雾科技首席信息安全官 23pds 披露，Linux 平台的 Snap Store 应用商店出现新型安全漏洞，黑客通过劫持过期域名接管应用发布者账号，将恶意代码植入加密钱包应用。攻撃者は Snap Store において関連するドメインが期限切れの開発者アカウントを監視し、登録し、これらのドメインのメールアドレスを利用してパスワードリセットをトリガーし、長期的な信頼を築いた発行者のアイデンティティを乗っ取ります。改ざんされたアプリは Exodus、Ledger Live、または Trust Wallet などの有名な暗号財布を装い、インターフェースは正規版とほぼ変わりません。現在、storewise[.]tech と vagueentertainment[.]com の2つの発行者ドメインが乗っ取られたことが確認されています。これらの悪意のあるアプリはユーザーに「ウォレットの復元フレーズ」を入力させるよう誘導し、一旦ユーザーが提出すると、敏感な情報が攻撃者のサーバーに送信され、デジタル資産が盗まれることになります。

据 CoinDesk 报道，加密货币分析公司 Chainalysis 在其最新报告中称，2025 年因诈骗和欺诈造成的加密货币损失可能高达 170 亿美元。其中，冒充他人诈骗这一项实现 1400% 的同比增长，而人工智能辅助诈骗比传统诈骗的利润高出 4.5 倍。

据安全机构 Socket 威胁研究团队报告，一款名为 "MEXC API Automator" 的恶意 Chrome 扩展程序自 2025 年 9 月 1 日起在 Chrome 应用商店上架，可窃取用户在加密货币交易所 MEXC 新创建的 API 密钥并发送至攻击者控制的 Telegram 机器人。该扩展程序以交易自动化为诱饵，在用户不知情的情况下自动生成具有提现权限的 MEXC API 密钥，并在界面中隐藏该权限显示，随后将密钥与密文外泄。攻击者借此可完全控制受害者的 MEXC 账户，执行交易、启动自动提现操作并转移账户内资产。截至报告发布时，该扩展程序仍可在 Chrome 应用商店中下载，研究团队已向谷歌通报并标记此扩展。

据慢雾科技首席信息安全官 23pds 披露，信息窃取恶意软件 MacSync 出现新变种，可成功绕过 macOS Gatekeeper 安全机制，已有用户资产被盗。该恶意软件采用多种技术逃避检测，包括文件膨胀、网络连接验证及执行后自毁脚本等。攻击者可通过此软件窃取受害者的 iCloud 钥匙串、浏览器密码以及加密货币钱包等敏感数据。用户应提高警惕，避免从不明来源下载软件，及时更新操作系统安全补丁，并采取额外措施保护加密资产安全。

BitsLab の共同創設者 Luis_0xyi は X プラットフォームで次のように投稿しました："Windows コンピュータ上で大金を扱う際は Chrome プラグインウォレットの使用に注意してください。BitsLab は最近、数十の主要なプラグインウォレットに共通する脆弱性を発見しました。この脆弱性は、プライベートキーを直接盗むために利用される可能性があります。Coinbase Wallet や Binance Wallet などの主要取引所のプラグインウォレットにもこの問題がありますが、この脆弱性の利用には一定の条件があります。修正後に再度詳細を公開します。"

据 Cointelegraph 报道，网络安全公司 Socket 发现一款名为 "Crypto Copilot" 的恶意 Chrome 扩展程序正在暗中从用户的 Solana 交易中窃取资金。该扩展程序允许用户直接从 X 社交媒体平台进行 Solana 交易，但会在每笔交易中注入额外指令，抽取至少 0.0013 SOL 或交易额的 0.05%。与典型的钱包清空恶意软件不同，Crypto Copilot 使用 Raydium 去中心化交易所执行交易，同时添加第二条指令将 SOL 转移到攻击者钱包，而用户界面仅显示交易概要，隐藏了单独的操作指令。该扩展程序自 2024 年 6 月 18 日发布以来，目前仅有 15 名用户。Socket 已向 Chrome Web Store 安全团队提交了下架请求。安全专家提醒用户，Chrome 扩展生态系统因其庞大用户群和可扩展设计，长期以来一直是加密货币诈骗的热门目标。

据 GoPlus 中文社区披露，发现名为 "Safery: Ethereum Wallet" 的恶意 Chrome 插件正在窃取用户资产。该插件于 2024 年 11 月 12 日发布，伪装成简单安全的以太坊钱包，但内置后门程序。攻击手法具有高度隐蔽性：恶意插件将用户助记词编码为 Sui 地址，并通过攻击者控制的 Sui 钱包广播微额交易来窃取助记词。攻击者邮箱为 kifagusertyna@gmail[.]com。目前该恶意插件尚未从 Chrome 应用商店下架。