マルウェア

フロントエンドクラウドプラットフォーム Vercel の CEO Guillermo Rauch はツイートで、チームが深刻なセキュリティ調査を完了し、分析範囲が約 1 PB の完全な Vercel ネットワークおよび API ログに及ぶことを報告しました。これは最初の Context.ai アカウント侵害事件をはるかに超えています。調査によると、攻撃者の活動範囲は Context.ai を超え、より広範囲にわたってマルウェアを配布しており、Vercel などのプラットフォームのアカウントキーを盗むことを目的としています。キーを取得すると、攻撃者は迅速かつ包括的に非機密環境変数を列挙します。現在講じられている対策には、Microsoft、AWS、Wiz などの業界パートナーとの協力を深め、より広範なインターネットエコシステムを共同で保護することが含まれています。また、他の疑わしい被害者に通知し、直ちに認証情報をローテーションし、セキュリティのベストプラクティスを強化することを推奨しています。

CoinDeskによると、CertiKの監視によれば、Lazarusグループは金融テクノロジーおよび暗号通貨業界の幹部を対象に「Mach-O Man」と呼ばれる攻撃を展開しています。この操作はClickFixのソーシャルエンジニアリング技術を利用し、虚偽のオンライン会議招待を送信することで、被害者にMac端末で修復指令を貼り付けさせ、会社および財務システムへのアクセス権を取得します。CertiKの研究者ナタリー・ニューソンは、Lazarusグループが過去2週間でDriftとKelpDAOを通じて5億ドル以上を盗んだと述べています。Mach-O ManはLazarusグループの傘下にあるChollima部門によって開発されたモジュラーmacOSマルウェアツールキットで、使用後に自動的に削除され、検出を回避します。さらに、攻撃者はDeFiプロジェクトのドメイン名をハイジャックし、虚偽のCloudflareメッセージに置き換える方法でこの攻撃を実施しています。

ブロックチェーンセキュリティ機関のSlowMistによる監視によれば、MistEyeはコミュニティからの脅威情報を受け取り、「MacSync Stealer」（v1.1.2）という名前の悪意のあるソフトウェアが活発であり、高度に破壊的であると報告しています。この悪意のあるソフトウェアはmacOSユーザーをターゲットにしており、暗号ウォレット、ブラウザの資格情報、システムキーチェーン、インフラストラクチャキー（SSH/AWS/K8s）などの機密データを盗みます。この悪意のあるソフトウェアは、偽のAppleScriptシステムダイアログを利用してフィッシングを行い、データ漏洩後に「サポートされていない」という偽のエラーメッセージを表示します。すでにこのIOC（指標）を顧客に即座に同期しました。検証されていないmacOSスクリプトを実行しないでください。また、予期しないシステムパスワードのプロンプトに対して高い警戒を保ってください。攻撃を受けた疑いがある場合は、直ちに対策を講じる必要があります：すべてのインフラストラクチャ資格情報（SSH/AWS/K8s）を変更し、露出したキーチェーンを無効にし、迅速に暗号資産を安全なウォレットに移動してください。

Bybitの安全運営センターは、検索AI開発ツールClaude CodeのmacOSユーザーに対する多段階のマルウェア攻撃活動を発見しました。攻撃者は検索エンジン最適化を利用して悪意のあるドメインをGoogle検索結果の上位に押し上げ、ユーザーを偽のインストールページに誘導し、ブラウザの認証情報、macOSキーチェーン、Telegramセッション、VPN設定、暗号ウォレット情報を盗みます。Bybitは、このマルウェアがバックドアを通じて持続的なアクセスを確立し、250以上のブラウザウォレット拡張機能や複数のデスクトップウォレットアプリをターゲットにしようとすることも示しています。この悪意のあるインフラは3月12日に特定され、関連する分析、緩和、検出措置は同日に完了しました。

SlowMistのセキュリティチームが発表した脅威情報によると、同社の脅威情報システムMistEyeはコミュニティからのフィードバックを受け、暗号ユーザーを対象とした活発なソーシャルエンジニアリング攻撃活動を発見しました。攻撃者はプロジェクトの協力を理由にターゲットユーザーに接触し、偽の「Harmony Voice」ソフトウェア（ドメイン：harmony-voice[.]app）を使用していわゆるリアルタイム翻訳を行うように誘導しますが、実際には悪意のあるプログラムです。SlowMistは関連する脅威情報（IOC）を企業顧客に同期しました。

攻撃者は、JavaScriptで最も人気のあるHTTPクライアントライブラリAxiosの主要メンテナーのnpmアクセス令牌を盗み、その令牌を利用してクロスプラットフォームのリモートアクセス型トロイの木馬（RAT）を含む2つの悪意のあるバージョン（axios@1.14.1とaxios@0.3.4）を公開しました。これらはmacOS、Windows、Linuxシステムを対象としています。悪意のあるパッケージはnpmレジストリ上で約3時間生存した後に削除されました。セキュリティ会社Wizのデータによると、Axiosの週あたりのダウンロード数は1億回を超え、約80%のクラウドおよびコード環境に存在しています。セキュリティ会社Huntressは、悪意のあるパッケージが公開されてから89秒後に最初の感染を検出し、露出ウィンドウ期間内に少なくとも135のシステムが侵害されたことを確認しました。注目すべきは、Axiosプロジェクトは以前にOIDC信頼できる公開メカニズムやSLSAトレーサビリティ証明などの現代的なセキュリティ対策を導入していたにもかかわらず、攻撃者はこれらの防御を完全に回避しました。調査の結果、プロジェクトはOIDCを設定する際に従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存する場合、デフォルトで従来のトークンを優先して使用するため、攻撃者はOIDCを突破することなく公開を完了できました。

GoPlus Security の報告によると、Infiniti Stealer という名前の情報窃取マルウェアが "ClickFix" ソーシャルエンジニアリング攻撃手法を通じて、Mac ユーザーの暗号ウォレットや敏感な資格情報を狙っている。攻撃者は高度に模倣された Cloudflare の CAPTCHA ページを偽造し、ユーザーを誘導してターミナルを開かせ、手動で悪意のあるコマンドを貼り付けて実行させる。コマンドが実行されると、スクリプトは macOS の隔離属性を削除し、その後のペイロードを /tmp ディレクトリに静かに書き込んで実行する。最終的なペイロードは Nuitka でコンパイルされたネイティブ macOS バイナリファイルであり、セキュリティツールによる検出の難易度を大幅に引き上げる。Infiniti Stealer が展開されると、Chromium / Firefox ブラウザの資格情報、macOS キーチェーン、暗号ウォレット、開発者キー ファイル（.env ファイルなど）を盗むことができ、サンドボックス検出や遅延実行機能を備えて追跡を回避する。

Cryptopolitan の報道によると、GhostClaw という名前の新しいマルウェアが macOS デバイス上の暗号財布を標的にしています。このマルウェアは、合法的な OpenClaw CLI ツールに偽装しており、npm レジストリに一週間存在した後、178 人の開発者を感染させた後に削除されました。開発者が "npm install" コマンドを実行すると、隠されたスクリプトがグローバルに GhostClaw パッケージをインストールし、難読化された設定ファイルを通じて検出を回避します。GhostClaw は 3 秒ごとにクリップボードをスキャンし、秘密鍵、リカバリーフレーズ、公開鍵などの暗号財布や取引に関連するデータをキャプチャします。第2段階のペイロードがダウンロードされた後、GhostLoader は Chromium ブラウザ、macOS キーチェーン、およびシステムストレージ内の暗号財布データをスキャンし、ブラウザセッションをクローンしてログイン済みの財布へのアクセスを取得し、OpenAI や Anthropic などの AI プラットフォームに接続する API トークンを盗みます。盗まれたデータは Telegram、GoFile、およびコマンドサーバーを通じて攻撃者に送信されます。

ハッカーはGoogle Playストアを模倣したフィッシングページを通じて、ブラジルでAndroidマルウェア攻撃を開始しました。現在、すべての既知の被害者はブラジルにいます。攻撃者はGoogle Playに非常に似たフィッシングサイトを構築し、ユーザーに「INSS Reembolso」という偽のアプリをダウンロードさせるように誘導しました。このアプリがインストールされると、段階的に隠された悪意のあるコードが解放され、直接メモリにロードされて実行され、デバイス上に可視ファイルを残さず、非常に高い隠蔽性を持っています。マルウェアの主要な機能の一つは暗号通貨のマイニングであり、ARMデバイス用にコンパイルされたXMRigマイニングプログラムが内蔵されており、バックグラウンドで静かに攻撃者が制御するマイニングサーバーに接続します。このプログラムはバッテリー残量、温度、デバイスの使用状況を監視し、検出を回避するためにマイニングの動作を動的に調整し、静音の音声ファイルをループ再生することでAndroidシステムのバックグラウンドプロセス管理メカニズムを回避します。一部の亜種は銀行トロイの木馬も内蔵しており、BinanceやTrust WalletのUSDT送金画面に偽のページを重ねて静かに受取先アドレスを置き換えます。さらに、マルウェアは録音、スクリーンショット、キーボード記録、リモートロックなどの多くのリモートコントロール命令をサポートしています。

据慢雾科技首席信息安全官 23pds 披露，情报系统发现名为 "@openclaw-ai/openclawai" 的恶意 npm 包正在实施多层攻击。该恶意包伪装成名为 OpenClaw Installer 的合法命令行工具，旨在窃取用户敏感信息，包括系统凭证、加密钱包私钥、浏览器数据、SSH 密钥以及 Apple Keychain 数据库等。

GoPlus 日本語コミュニティは X プラットフォームで警告を発表し、北朝鮮のハッカーが npm レジストリに 26 の悪意のあるパッケージを公開したと伝えています。これらの悪意のあるパッケージには、インストール中に自動的に実行されるインストールスクリプト ("install.js") が添付されており、"vendor/scrypt-js/version.js" にある悪意のあるコードを実行します。悪意のあるコードは、同じ悪意のある URL を通じてリモートアクセス型トロイの木馬（RAT）をダウンロードして実行し、キーボードの入力を記録したり、クリップボードを盗んだり、ブラウザの認証情報を収集したり、TruffleHog を使用して Git リポジトリの秘密をスキャンしたり、SSH キーを盗んだりするなどの悪意のある行為を実施します。この事件は、「Famous Chollima」と呼ばれる北朝鮮のハッカー活動に関連しています。

据 Cointelegraph 报道，黑客正利用 "ClickFix" 攻击手法窃取加密货币，最新两起攻击涉及冒充风险投资公司和劫持浏览器扩展程序。ネットセキュリティ会社 Moonlock Lab の報告によると、詐欺師は SolidBit、MegaBit、Lumax Capital などの偽の VC を装い、LinkedIn を通じてユーザーに協力の機会を提供し、偽の Zoom や Google Meet のリンクをクリックさせるように誘導しています。リンクをクリックすると、ユーザーは偽の Cloudflare "私はロボットではありません" 認証ボックスを含むページに誘導され、そのボックスをクリックすると悪意のあるコマンドがクリップボードにコピーされ、ユーザーにターミナルを開いていわゆる確認コードを貼り付けるように促され、攻撃が実行されます。Moonlock Lab は、この手法が被害者を実行メカニズムにし、セキュリティ業界の防御策を回避することを指摘しています。一方で、ハッカーは Chrome 拡張機能 QuickLens をハイジャックしてマルウェアを拡散しています。この拡張機能は、ユーザーがブラウザ内で直接 Google Lens 検索を実行できるようにし、所有権が譲渡された後の新しいバージョンには悪意のあるスクリプトが含まれており、ClickFix 攻撃を開始して情報を盗むことができます。この拡張機能は約 7000 人のユーザーがいて、ハイジャックされた後は暗号ウォレットのデータやリカバリーフレーズを検索して資金を盗むほか、Gmail の受信箱の内容、YouTube チャンネルのデータ、ウェブフォームに入力されたログイン資格情報や支払い情報を取得します。この拡張機能は Chrome ウェブストアから削除されました。ClickFix 技術は昨年からハッカーの間で流行しており、被害者に悪意のあるペイロードを手動で実行させ、世界中の数千の企業や複数の業界に影響を与えています。

GoPlus Security は、PromptSpy という新しい Android マルウェアに注意するようユーザーに警告しています。このマルウェアは、フィッシングサイト（銀行のウェブサイトを装ったものなど）を通じてユーザーに APK ファイルをダウンロードさせ、アクセシビリティ権限を取得した後にデバイスをリモートで制御します。PromptSpy の特異性は、Google Gemini API を利用してデバイスのインターフェースを分析し、攻撃戦略を策定することで、異なるスマートフォンブランドやシステムバージョンにより適応し、攻撃の隠密性と成功率を高める点にあります。

黒客は、Facebook上で偽のWindows 11更新広告を掲載することによって、暗号通貨ユーザーの資産を盗もうとしています。これらの広告は、専門的なMicrosoftブランドのロゴを使用しており、ユーザーがクリックするとクローンのMicrosoftウェブサイトに誘導され、その後マルウェアがダウンロードされます。このマルウェアは、被害者のコンピュータに「LunarApplication」というフレームワークをインストールし、暗号通貨ウォレットのシードフレーズ、ログイン資格情報、その他の機密情報を盗むことを目的としています。黒客は、地理的フェンシング技術を利用してデータセンターのIPアドレスを回避し、自動スキャナーによる攻撃の検出を防ぎます。

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Cointelegraph 报道，网络安全研究员 Jeremiah Fowler 发现了一个包含约 1.49 亿用户名和密码的公开数据库，这些数据通过信息窃取恶意软件从被感染的个人设备中收集。该数据库包含与多个主要平台相关的账户信息，其中至少有 42 万条与币安用户相关的登录凭证。専門家は、これはバイナンスのシステムが侵害されたのではなく、感染したデバイスから保存されたログイン情報を抽出するために「情報窃取」マルウェアを使用したものであると強調しています。このマルウェアはゲームのチートツールやモディファイアに偽装し、特に暗号通貨ウォレットやブラウザ拡張機能を標的にしており、100種類以上のブラウザと少なくとも80の暗号通貨取引所に影響を与えています。これにはバイナンス、Coinbase、Crypto.com、MetaMaskなどが含まれます。

据市场消息，一场针对 Cardano 用户的高级钓鱼攻击正在通过伪装 "Eternl Desktop" 钱包发布公告传播，诱导用户下载安装包含远程控制工具的恶意 MSI 文件。攻击者伪造官方语气并引用 NIGHT 与 ATMA 代币激励，利用域名 download.eternldesktop.network 传播无签名安装包。安全研究员揭示该文件内含 LogMeIn Resolve 组件，可实现远程命令执行与系统持久控制。建议用户仅通过官方渠道获取钱包软件。

据 financefeeds 报道，全球网络安全公司卡巴斯基发布紧急警报，关注一种名为 "Stealka" 的新型复杂信息窃取工具，该软件已开始对 Windows 用户发起大规模攻击。该恶意软件于 2025 年底被发现，专门设计用来收集敏感的金融数据、浏览器凭证和加密货币钱包信息。Stealka 主要通过像 GitHub 和 SourceForge 这样的欺骗性平台分发，伪装成盗版软件或高需求应用的 "破解"。该恶意软件尤其危险，因为它利用先进的混淆技术绕过传统的基于签名的安全解决方案，通常在对受害者设备进行全面扫描时保持不被发现。这一威胁出现在全年密码窃取侦测激增近 60% 之际，标志着数字金融犯罪演变中更为激进的阶段。

慢雾首席情報セキュリティ責任者 23pds が発信した情報によると、macOS プラットフォームで活躍する MacSync Stealer マルウェアが明らかに進化しており、すでにユーザーの資産が盗まれています。彼が転送した記事では、初期の「ドラッグ＆ドロップ」や「ClickFix」などの低いハードルの誘導手法から、コード署名を行い、Apple の公証（notarized）を通過した Swift アプリケーションにアップグレードされ、隠蔽性が大幅に向上したことが述べられています。研究者は、このサンプルが「zk-call-messenger-installer-3.9.2-lts.dmg」という名前のディスクイメージ形式で配布されており、即時通信やツール系アプリに偽装してユーザーにダウンロードを促していることを発見しました。従来とは異なり、新しいバージョンはユーザーに端末操作を要求せず、内蔵された Swift 補助プログラムがリモートサーバーからコード化されたスクリプトを引き出して実行し、情報窃取プロセスを完了します。このマルウェアはコード署名を完了し、Apple の公証を通過しており、開発者チーム ID は GNJLS3UYZ4 です。関連するハッシュは分析時に Apple によって取り消されていません。これは、デフォルトの macOS セキュリティメカニズムの下で「信頼性」が高く、ユーザーの警戒を回避しやすいことを意味します。研究では、この DMG のサイズが異常に大きく、LibreOffice 関連の PDF などの囮ファイルが含まれており、さらなる疑念を減少させるために使用されていることが明らかになりました。セキュリティ研究者は、この種の情報窃取トロイの木馬が主にブラウザデータ、アカウント認証情報、暗号ウォレット情報をターゲットにすることを指摘しています。マルウェアが Apple の署名と公証メカニズムを体系的に悪用し始めるにつれて、暗号資産ユーザーが macOS 環境で直面するフィッシングや秘密鍵漏洩のリスクが高まっています。