ハッカー、イーサリアムを悪用して人気のコーディング・ライブラリにマルウェアを注入

ブロックチェーンコンプライアンス企業Reversing Labs(RL)のサイバーセキュリティ調査によると、ハッカーは現在、イーサリアムのスマートコントラクトにマルウェアを注入するために、広く使用されているNPMコーディングライブラリの脆弱性を悪用している。研究者のLucija Valentić氏は9月3日付のブログ投稿で、広範なJavaScriptパッケージやライブラリを含むNode Package Manager（NPM）パッケージリポジトリに存在する新しいオープンソースのマルウェアを悪用することで、脅威行為者がセキュリティスキャンを回避していることを明らかにした。発見された最も破壊的なマルウェアは、7月に公開された「colortoolsv2」と「mimelib2」であり、スマートコントラクトを悪用して、感染したシステムにダウンローダー型マルウェアをインストールする悪意のあるコマンドを隠蔽していることが判明した。出典ReversingLabs How Ethereum Smart Contracts Turn into Malware Command Centers これらのパッケージは、NPMとGitHubの両方に影響を与える広範なオープンソースライブラリの一部であり、悪意のあるサプライチェーンの行為者は、開発者を騙して有害なコードをプロジェクトに組み込むために、高度なソーシャルエンジニアリングと欺瞞戦術を使用しています。ReversingLabsによると、2025年には、JavaScriptパッケージの主要なオンラインリポジトリであるNPMを標的にした悪質なキャンペーンが多様化しているという。3月、RLは、NPMパッケージethers-provider2およびethers-providerzの発見を文書化しました。 ethersキャンペーンを発見して以来、研究者は、NPM上で発見された多数の追加情報窃取者、ダウンローダー、およびドロッパーを検出しました。7月初め、RLの研究者Karlo Zankiは、悪意のある第2段階を配信するためにブロックチェーンを斬新な方法で展開する基本パッケージを含む新しいNPMキャンペーンを発見し、報告しました。RLの脅威研究者は、悪意のあるコマンドホスティングのために#blockchainを悪用する悪意のある#npmパッケージを検出しました: https://t.co/Hc0QjaH3So pic.twitter.com/uQ3xXAIEkZ - ReversingLabs (@ReversingLabs) July 11, 2025 まさにこのパッケージcolortoolsv2は、イーサリアムのスマートコントラクトに侵入するために使用されています。RLの研究者によると、このマルウェアは、わずか2つのファイルを含む基本的なNPMパッケージです。主要なファイルはindex.jsというスクリプトで、悪意のあるペイロードが隠されている。プロジェクトにインストールされると、このスクリプトが実行され、ブロックチェーンのデータを取得し、コマンド＆コントロール（C2）サーバーのURLを読み込んで有害なコマンドを実行する。ダウンローダー」マルウェアは、ハッカーが犠牲者をターゲットにするためにNPMリポジトリで使用する一般的な方法ですが、この特定のマルウェアは、第2段階のマルウェアをダウンロードするための悪意のあるコマンドが配置されているURLをホストするためにイーサリアムのスマートコントラクトを使用しているため、珍しいものです。Etherscanが間違った実装のコントラクトを表示するように騙された方法は、同じフロントランニングtxに2つの異なるプロキシ・スロットを設定することに基づいている。そこでEtherscanは、実装を取得するために異なるストレージスロットを組み込んだ特定のヒューリスティックを使用しています... https://t.co/8VSCKK7DfY pic.twitter.com/OyxcxZwg5N - sudo rm -rf -no-preserve-root / (@pcaversaccio) July 10, 2025 注目すべきことに、サイバーセキュリティ研究者は、以前このアプローチに遭遇したことがないことを認めている。2ファイルのマルウェアが250万ドルのブリッジエクスプロイト手法を隠す 研究者は、一般的な観察者には信頼できるGitHubプロジェクトに見える、悪意のあるcolortoolsv2パッケージに感染したsolana-trading-bot-v2を発見した。ソースはこちら：ReversingLabs 何千ものコミットがあり、アクティブなコントリビューターが何人もいて、スターやウォッチャーもそれなりにいる。しかし、これらの詳細はすべて捏造されたものであり、これをインストールした開発者は、ボットとやり取りするユーザーのウォレットから資金を流出させられるリスクがある。スマートコントラクトとブロックチェーンインフラストラクチャを標的にしたソフトウェアサプライチェーン攻撃は、現在増加傾向にある。7月、ハッカーはArcadia FinanceのRebalancer契約の脆弱性を悪用し、Baseブロックチェーン上で動作する分散型金融プラットフォームから約250万ドルの暗号通貨を流出させた。攻撃者は任意のswapDataパラメータを操作し、ユーザーの金庫を空にする不正なスワップを実行した。ブロックチェーン分析会社Global Ledgerの最近の報告書によると、ハッカーは2025年上半期に119件のインシデントで30億ドル相当の暗号を盗んでおり、これは2024年全体の150％増である。分析会社AMLBotのスラバ・デムチュック最高経営責任者（CEO）は、アクセス制御の欠陥とスマートコントラクトの脆弱性、特にブリッジの脆弱性が引き続き支配的な攻撃手法であると述べた。Demchuk氏はCryptonewsに対し、これらのハッカーは分散型金融（DeFi）プロトコルの相互接続性とコンポーザブル性を悪用し、影響を増幅させていると語った。ブロックチェーン監査人は、開発者は実装を検討している各ライブラリを、開発サイクルに組み込むことを決定する前に評価することが重要であると助言した。The post Hackers Exploit Ethereum to Inject Malware in Popular Coding Libraries appeared first on Cryptonews .

https://cryptonews.com/news/hackers-exploit-ethereum-to-inject-malware-in-popular-coding-libraries/