暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、MasterCard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物キックオフ
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Launchpad
次の大きなトークンプロジェクトを一足先に
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
コミュニティ
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
もっと
プロモーション
その他
TradFi
giveaways
報酬センター

Openclawのなりすまし攻撃がパスワードと暗号通貨ウォレットのデータを盗む

Coinpedia

Openclaw人工知能(AI)エージェントフレームワークのインストーラーを装った悪意のあるnpmパッケージが、開発者のマシンを静かに制御するための資格情報窃盗マルウェアを拡散しています。

セキュリティ研究者、悪意のあるOpenclaw npmパッケージを暴露

セキュリティ研究者によると、このパッケージはOpenclawや類似のAIエージェントツールを使用する開発者を狙ったサプライチェーン攻撃の一環です。インストールされると、段階的な感染を引き起こし、最終的にGhostloaderと呼ばれるリモートアクセス型トロイの木馬を展開します。

この攻撃はJFrogセキュリティリサーチによって特定され、2026年3月8日から9日の間に公開されました。同社の報告によると、パッケージは3月初旬にnpmレジストリに登場し、3月9日までに約178回ダウンロードされていました。公開後も、報告時点ではnpm上で利用可能な状態でした。

一見すると、このソフトウェアは無害に見えます。パッケージは公式のOpenclawツールに似た名前を使用し、普通のJavaScriptファイルやドキュメントを含んでいます。研究者は、見た目のコンポーネントは無害に見える一方で、悪意のある動作はインストール過程で発動すると指摘しています。

誰かがこのパッケージをインストールすると、隠されたスクリプトが自動的に作動します。これらのスクリプトは、正規のコマンドラインインストーラーのように見せかけ、進行状況やシステムメッセージを表示し、実際のソフトウェアセットアップを模倣します。

インストール中、プログラムは偽のシステム認証プロンプトを表示し、ユーザーのコンピュータのパスワードを要求します。このプロンプトは、Openclawの資格情報を安全に設定するために必要だと主張します。パスワードを入力すると、マルウェアは高い権限で敏感なシステムデータにアクセスします。

裏側では、インストーラーは攻撃者が管理するリモートコマンド&コントロールサーバーから暗号化されたペイロードを取得します。復号化して実行されると、そのペイロードはGhostloaderリモートアクセス型トロイの木馬をインストールします。

研究者は、Ghostloaderがシステム上に持続性を確立し、日常的なソフトウェアサービスとして偽装していると述べています。その後、マルウェアは定期的にコマンド&コントロールインフラに接続し、攻撃者からの指示を受け取ります。

このトロイの木馬は、多種多様な敏感情報を収集するよう設計されています。JFrogの分析によると、パスワードデータベース、ブラウザクッキー、保存された資格情報、システム認証ストアをターゲットにしており、クラウドプラットフォームや開発者アカウント、メールサービスへのアクセス情報を含む可能性があります。

暗号通貨ユーザーは追加のリスクに直面する可能性があります。マルウェアはデスクトップの暗号通貨ウォレットやブラウザウォレット拡張機能に関連するファイルを検索し、ローカルフォルダ内のシードフレーズやウォレット回復情報をスキャンします。

このツールはクリップボードの活動も監視し、SSHキーやエンジニアがリモートインフラにアクセスするために一般的に使用する開発資格情報を収集することも可能です。セキュリティ専門家は、この組み合わせにより、開発者のシステムは本番環境の資格情報を保持していることが多いため、特に狙われやすいと指摘しています。

データ窃盗に加え、Ghostloaderにはリモートアクセス機能も備わっており、攻撃者はコマンドの実行、ファイルの取得、ネットワークトラフィックのルーティングを侵害されたシステムを通じて行うことができます。研究者は、これらの機能により感染したマシンが開発者環境内の足掛かりとなると述べています。

また、悪意のあるソフトウェアは持続性メカニズムもインストールし、システム再起動後も自動的に再起動します。これらの仕組みは、通常、隠しディレクトリやシステム起動設定の改変を伴います。

JFrogの研究者は、「npm telemetry」サービスに関連する疑わしいシステムファイルや、攻撃者が管理するインフラへの接続を示す複数の指標を特定しました。

サイバーセキュリティ分析者は、この事件は開発者エコシステムを標的としたサプライチェーン攻撃の増加傾向を反映していると述べています。AIフレームワークや自動化ツールの普及に伴い、攻撃者はマルウェアを有用な開発者ツールに偽装するケースが増えています。

パッケージをインストールした開発者には、直ちに削除し、システムの起動設定を確認し、疑わしいtelemetryディレクトリを削除し、影響を受けたマシンに保存されているパスワードや資格情報を変更することが推奨されます。

セキュリティ専門家はまた、開発者ツールは信頼できるソースからのみインストールし、npmパッケージを慎重に確認した上でグローバルインストールを行い、サプライチェーンスキャンツールを使用して疑わしい依存関係を検出することを推奨しています。

Openclawプロジェクト自体は侵害されておらず、研究者はこの攻撃は公式ソフトウェアの脆弱性ではなく、パッケージ名を偽装した詐欺によるものだと強調しています。

よくある質問 🔎

  • **悪意のあるOpenclaw npmパッケージとは何ですか?**Openclawのインストーラーを装い、GhostLoaderマルウェアを密かにインストールします。
  • **Ghostloaderマルウェアは何を盗みますか?**パスワード、ブラウザ資格情報、暗号通貨ウォレットデータ、SSHキー、クラウドサービスの資格情報を収集します。
  • **このnpmマルウェア攻撃の最も危険にさらされるのは誰ですか?**パッケージをインストールしたすべての人、特にAIフレームワークや暗号通貨ウォレットツールを使用している人は、資格情報が漏洩する可能性があります。
  • **パッケージをインストールしてしまった場合、どうすればいいですか?**直ちに削除し、システムの起動ファイルを確認し、疑わしいディレクトリを削除し、すべての機密資格情報を変更してください。
原文表示
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。
コメント
0/400
コメントなし