セキュリティ機構の慢霧（マンドウ）が緊急警報を発表。北朝鮮のLazarus組織傘下の子組織HexagonalRodentがWeb3開発者を標的に攻撃を行っている。高額のリモート勤務などのソーシャルエンジニアリング手段を用いて、悪意のあるソフトウェアのバックドアを含むスキル評価コードを開発者に実行させ、最終的に暗号資産を窃取する。Expelの調査報告によると、2026年上半期の最初の3か月で損失額は1,200万米ドルに達した。

攻撃手法：スキル評価コードが主要な感染入口

攻撃者はまずLinkedInまたは求人プラットフォームで標的に連絡するか、偽の会社Webサイトを作成して求人情報を掲載し、「在宅スキル評価」を口実に開発者に悪意のあるコードを実行させる。評価コードには2つの感染経路が含まれる：

VSCode tasks.json攻撃：runOn: folderOpen指示を含むtasks.jsonファイルへ悪意のあるコードを埋め込み、開発者がVSCodeでコードファイルのフォルダを開くだけで、悪意のあるソフトウェアが自動的に実行される。

コード内蔵バックドア：評価コード自体にバックドアを埋め込み、コード実行時に感染を発動。VSCodeを使用していない開発者に対して代替の入口を提供する。

使用される悪意のあるソフトウェアには、BeaverTail（NodeJSの多機能窃取・スパイツール）、OtterCookie（NodeJSのリバースシェル）、InvisibleFerret（Pythonのリバースシェル）が含まれる。

初回サプライチェーン攻撃：fast-draft VSX拡張が侵害される

2026年3月18日、HexagonalRodentはVSCode拡張「fast-draft」に対してサプライチェーン攻撃を仕掛け、侵害された拡張を通じてOtterCookieの悪意のあるソフトウェアを拡散した。慢霧は確認した。2026年3月9日、fast-draft拡張の開発者と同名のユーザーがOtterCookieに感染していた。

システムが感染している可能性がある場合、以下のコマンドで既知のC2サーバー（195.201.104[.]53）に接続しているかを確認できる： MacOS/Linux：netstat -an | grep 195.201.104.53 Windows：netstat -an | findstr 195.201.104.53

AIツールの悪用：ChatGPTとCursorが悪意をもって使用されたことが確認される

HexagonalRodentは大量にChatGPTとCursorを攻撃の補助に使用しており、悪意のあるコードの生成や偽の会社Webサイトの構築を含む。AIが生成した悪意のあるコードを見分ける鍵となるサインは、コード内で絵文字が大量に使用されている点（手書きコードでは非常にまれ）である。

Cursorは関連するアカウントとIPを1営業日以内にブロックした。OpenAIは、ChatGPTの使用が限定的であることを確認し、これらのアカウントが求めている支援は正当なセキュリティのユースケースにおけるデュアルユースのシナリオに属すると説明。継続的な悪意のあるマルウェア開発活動は確認されていない。少なくとも13件の感染済みウォレットの資金流入が、既知の北朝鮮のイーサリアムアドレスへ送金されており、110万米ドル超を受領していることが確認されている。

よくある質問

Web3開発者は、この種の攻撃からどのように自分を守れますか？

中核となる防御策は以下のとおり：（1）不審な求人相手に対して高度な警戒心を保ち、特に在宅コード評価を求める機会に注意すること；（2）サンドボックス環境で、メインシステムではなく、不慣れなコードリポジトリを開くこと；（3）VSCodeのtasks.jsonファイルを定期的に確認し、未承認のrunOn: folderOpenタスクがないことを確認すること；（4）ハードウェアセキュリティキーで暗号ウォレットを保護すること。

自分のシステムが感染しているかどうか、どう確認できますか？

クイック自己点検コマンドを実行する：MacOS/Linuxユーザーはnetstat -an | grep 195.201.104.53を実行し、Windowsユーザーはnetstat -an | findstr 195.201.104.53を実行する。既知のC2サーバーとの持続的な接続を見つけた場合は、直ちにネットワークを切断し、全面的なマルウェアスキャンを実施すべきである。

HexagonalRodentはなぜNodeJSとPythonをマルウェア言語として選んだのですか？

Web3開発者は通常、システムにNodeJSとPythonをインストールしているため、悪意のあるプロセスが通常の開発者の活動に溶け込み、アラートを引き起こさない。これら2言語は従来のマルウェア対策システムの主要な監視対象ではなく、さらに商用のコード難読化ツールの使用により、特徴（シグネチャ）コードの検出が非常に困難になる。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

検知率ほぼゼロで800超のバンキング／暗号資産アプリを狙うAndroidマルウェアファミリー：Zimperium

セキュリティインシデント

Gate Newsのメッセージ、4月25日 — サイバーセキュリティ企業Zimperiumは、4つの稼働中のマルウェアファミリー（RecruitRat、SaferRat、Astrinox、Massiv）を特定した。銀行、暗号資産、ソーシャルメディアの各セクターにまたがり、800以上のアプリを標的としている。これらのキャンペーンは、高度なアンチ解析手法と

GateNews2時間前

TRADOOR トークン、疑われる価格操作とウォッシュトレーディングの中で30分で90%暴落

価格ボラティリティセキュリティインシデント取引所リスク

Gate News メッセージ、4月25日 — オンチェーン分析者 Specter によると、TRADOOR トークンは本日 2:00 AM に 30分間で急激に 90% 価格が暴落しました。トークンは 2026年3月以降、突然の崩壊の前に最大 900% 値上がりしており、価格操作や連携した

GateNews3時間前

貸付プロトコルPurrlendが攻撃を受け、MegaETHとHyperEVMをまたいで$1.52百万を喪失

セキュリティインシデント

ゲートニュース、4月25日――貸付プロトコルのPurrlendは本日、MegaETHおよびHyperEVMの両ネットワークへの攻撃の被害に遭い、約$1.52百万の損失が発生しました。攻撃者はHyperEVMネットワークから約$1.2百万相当の資産を引き出し、その内訳は449,683 USDC、214,125

GateNews4時間前

ベン・パステルナク、$54M クリプト詐欺の訴訟をめぐるNYCのホテルでの暴行で逮捕――Believeトークンに関して

執行措置セキュリティインシデント

ゲートニュースメッセージ、4月25日――ソラナベースのSocialFiプラットフォームBelieveの背後にいる26歳のオーストラリア人起業家ベン・パステルナクは、4月22日に逮捕され、第2級の絞殺および第3級の暴行を2件科された。自身の元恋人で、YouTubeパーソナリティのエブリン・ハーとの間で起きたとされる身体的なもめごとを受けたもの。

GateNews5時間前

独立研究者が15ビットのECCキーを解読、Project Elevenからビットコイン報酬獲得

bitcoin news セキュリティインシデント

ゲートニュース記事、4月25日――独立研究者のジャンカルロ・レッリ（Giancarlo Lelli）が、ビットコインを保護する15ビットのECC暗号化キーを正常に解読し、量子セキュリティスタートアップのProject ElevenからQ-Day Awardに加えて1 BTCを受け取りました。レッリは公開されている量子ハードウェアと、Shorの

GateNews6時間前

22歳のカリフォルニア暗号資産マネーロンダラー、$263M 詐欺スキームで70か月の有罪判決

執行措置セキュリティインシデント

ゲートニュース、4月25日—カリフォルニア州ニューポートビーチ出身の22歳、エヴァン・タンジェマンは、$263 百万ドルにのぼる巨額の暗号資産詐欺スキームで得た資金のマネーロンダリングへの関与により、4月24日に懲役70か月の判決を受けた。ワシントンD.C.の米連邦地方裁判所は、判決を言い渡した

GateNews7時間前

0/400

コメントなし