仮想通貨手数料還付プラットフォーム - ヘイモアロゴ

仮想通貨分析

ハッカーがイーサリアムのスマートコントラクトにマルウェアを仕込む

2025-09-04 20:35

Hackers load Ethereum smart contracts with hidden malware

ReversingLabsの調査により、イーサリアムのスマートコントラクトを使用して悪意のあるソフトウェアのURLを隠すマルウェアキャンペーンが発見された。調査の結果、ハッカーはダウンローダーとして機能するnpmパッケージcolortoolv2とmimelib2を使用していたことが判明した。npmパッケージがインストールされると、彼らはイーサリアムのスマートコントラクトに問い合わせることで、コマンド&コントロール基盤(C2)から第2段階のマルウェアを取得する。ReversingLabsの研究者であるLucija Valentic氏は、この攻撃は独創的であり、これまでには見られなかったものだと述べている。攻撃者のアプローチは、通常パッケージスクリプト内の疑わしいURLにフラグを立てる従来のスキャンを回避した。攻撃者はマルウェアを平然と隠す イーサリアムのスマートコントラクトは、ブロックチェーンの機能を自動化する公開プログラムである。このケースでは、ハッカーが悪意のあるコードを平然と隠すことができました。悪意のあるペイロードはシンプルなindex.jsファイルで隠されており、実行されるとブロックチェーンにアクセスしてコマンド・アンド・コントロール(C2)サーバーの詳細を取得する。ReversingLabsの調査によると、ダウンローダ・パッケージはnpmの標準ではなく、ブロックチェーン・ホスティングは回避戦術の新たな段階を示した。この発見をきっかけに、研究者たちはGitHubを広くスキャンし、暗号通貨ボットを装ったリポジトリの下にnpmパッケージが埋め込まれていることを発見した。ボットは、Solana-trading-bot-v2、Hyperliquid-trading-bot-v2、その他多くのボットに偽装されていた。リポジトリはプロフェッショナルなツールとして偽装され、複数のコミット、コンテナ、スターを集めていたが、実際は単なる捏造だった。調査によると、コミットやリポジトリのフォークを行ったアカウントは7月に作成されたもので、コーディング活動は見られなかった。ほとんどのアカウントは、リポジトリにREADMEファイルを埋め込んでいた。コミット回数は、コーディング活動を誇張するために自動化されたプロセスによって人為的に生成されたものであることが判明した。例えば、ログに記録されたコミットのほとんどは、意味のある更新ではなく、単なるライセンスファイルの変更だった。Pasttimerlesはあるメンテナが使っていたハンドルネームで、多くのコミットを共有するために使われていました。Slunfuedracという別のハンドルネームは、悪意のあるnpmパッケージをプロジェクトファイルにインクルードするために使われていた。いったん検出されると、ハッカーたちは依存関係を別のアカウントに切り替え続けた。colortoosv2が検出された後、彼らはmimelibv2に切り替え、その後mw3ha31qとcnaovallesに切り替え、それぞれコミットのインフレと悪意のある依存関係の配置に貢献した。ReversingLabsの調査は、この活動をStargazerのGhost Network(悪意のあるリポジトリの信頼性を高めるアカウントの協調システム)に結びつけた。この攻撃は、オープンソースの暗号通貨ツールを求めている開発者をターゲットにしており、GitHubの統計情報を正当なアカウントだと勘違いする可能性がある。イーサリアム・ブロックチェーンへのマルウェア埋め込みは、脅威検知の新たな段階を示す 今回の攻撃は、ブロックチェーン・エコシステムを標的とした一連の攻撃に続くものです。2025年3月、ResearchLabsは、正規のEthersパッケージにパッチを当て、リバースシェルを可能にするコードを埋め込んだ悪意のあるnpmパッケージを他にも発見した。Ether-provider2とethers-providerZのnpmパッケージは、リバースシェルを有効にする悪意のあるコードを含んでいることが明らかになりました。また、2024年12月にPyPIのultralyticsパッケージが侵害されるなど、それ以前にも暗号通貨マイニングマルウェアを配信する事例が複数発覚している。その他にも、Google DriveやGitHub Gistのような信頼できるプラットフォームが、C2サーバーを経由して悪意のあるコードを隠蔽するために使用されていた。調査によると、2024年には、マルウェアから認証情報漏えいに至るまで、23件の暗号関連のサプライチェーンインシデントが記録されている。最新の発見では、古い手口が使われているが、新しいメカニズムとしてイーサリアムのコントラクト・アプローチが導入されている。Research Labsの研究者であるValentic氏は、今回の発見は、オープンソースプロジェクトや開発者を荒らす悪意のあるアクターによる検知回避戦略の急速な進化を浮き彫りにしていると述べた。研究は、採用前にオープンソースライブラリの正当性を検証することの重要性を強調した。ヴァレンティック氏は、開発者は開発環境に組み込む前に、検討している各ライブラリを評価する必要があると警告した。また、星印やコミット数、メンテナの数といった指標は、簡単に操作できることは明らかだと付け加えた。特定されたnpmパッケージのcolortoolsv2とmimelib2は、その後npmから削除され、関連するGitHubアカウントも閉鎖されたが、この活動によって、ソフトウェア脅威のエコシステムがどのように進化しているかが明らかになった。KEY Difference Wire : 暗号化プロジェクトが確実にメディアに取り上げられるために使う秘密のツール

https://www.cryptopolitan.com/hackers-now-hiding-malware-ethereum-sm/