セキュリティ機構の慢霧（マンドウ）が緊急警報を発表。北朝鮮のLazarus組織傘下の子組織HexagonalRodentがWeb3開発者を標的に攻撃を行っている。高額のリモート勤務などのソーシャルエンジニアリング手段を用いて、悪意のあるソフトウェアのバックドアを含むスキル評価コードを開発者に実行させ、最終的に暗号資産を窃取する。Expelの調査報告によると、2026年上半期の最初の3か月で損失額は1,200万米ドルに達した。

攻撃手法：スキル評価コードが主要な感染入口

攻撃者はまずLinkedInまたは求人プラットフォームで標的に連絡するか、偽の会社Webサイトを作成して求人情報を掲載し、「在宅スキル評価」を口実に開発者に悪意のあるコードを実行させる。評価コードには2つの感染経路が含まれる：

VSCode tasks.json攻撃：runOn: folderOpen指示を含むtasks.jsonファイルへ悪意のあるコードを埋め込み、開発者がVSCodeでコードファイルのフォルダを開くだけで、悪意のあるソフトウェアが自動的に実行される。

コード内蔵バックドア：評価コード自体にバックドアを埋め込み、コード実行時に感染を発動。VSCodeを使用していない開発者に対して代替の入口を提供する。

使用される悪意のあるソフトウェアには、BeaverTail（NodeJSの多機能窃取・スパイツール）、OtterCookie（NodeJSのリバースシェル）、InvisibleFerret（Pythonのリバースシェル）が含まれる。

初回サプライチェーン攻撃：fast-draft VSX拡張が侵害される

2026年3月18日、HexagonalRodentはVSCode拡張「fast-draft」に対してサプライチェーン攻撃を仕掛け、侵害された拡張を通じてOtterCookieの悪意のあるソフトウェアを拡散した。慢霧は確認した。2026年3月9日、fast-draft拡張の開発者と同名のユーザーがOtterCookieに感染していた。

システムが感染している可能性がある場合、以下のコマンドで既知のC2サーバー（195.201.104[.]53）に接続しているかを確認できる： MacOS/Linux：netstat -an | grep 195.201.104.53 Windows：netstat -an | findstr 195.201.104.53

AIツールの悪用：ChatGPTとCursorが悪意をもって使用されたことが確認される

HexagonalRodentは大量にChatGPTとCursorを攻撃の補助に使用しており、悪意のあるコードの生成や偽の会社Webサイトの構築を含む。AIが生成した悪意のあるコードを見分ける鍵となるサインは、コード内で絵文字が大量に使用されている点（手書きコードでは非常にまれ）である。

Cursorは関連するアカウントとIPを1営業日以内にブロックした。OpenAIは、ChatGPTの使用が限定的であることを確認し、これらのアカウントが求めている支援は正当なセキュリティのユースケースにおけるデュアルユースのシナリオに属すると説明。継続的な悪意のあるマルウェア開発活動は確認されていない。少なくとも13件の感染済みウォレットの資金流入が、既知の北朝鮮のイーサリアムアドレスへ送金されており、110万米ドル超を受領していることが確認されている。

よくある質問

Web3開発者は、この種の攻撃からどのように自分を守れますか？

中核となる防御策は以下のとおり：（1）不審な求人相手に対して高度な警戒心を保ち、特に在宅コード評価を求める機会に注意すること；（2）サンドボックス環境で、メインシステムではなく、不慣れなコードリポジトリを開くこと；（3）VSCodeのtasks.jsonファイルを定期的に確認し、未承認のrunOn: folderOpenタスクがないことを確認すること；（4）ハードウェアセキュリティキーで暗号ウォレットを保護すること。

自分のシステムが感染しているかどうか、どう確認できますか？

クイック自己点検コマンドを実行する：MacOS/Linuxユーザーはnetstat -an | grep 195.201.104.53を実行し、Windowsユーザーはnetstat -an | findstr 195.201.104.53を実行する。既知のC2サーバーとの持続的な接続を見つけた場合は、直ちにネットワークを切断し、全面的なマルウェアスキャンを実施すべきである。

HexagonalRodentはなぜNodeJSとPythonをマルウェア言語として選んだのですか？

Web3開発者は通常、システムにNodeJSとPythonをインストールしているため、悪意のあるプロセスが通常の開発者の活動に溶け込み、アラートを引き起こさない。これら2言語は従来のマルウェア対策システムの主要な監視対象ではなく、さらに商用のコード難読化ツールの使用により、特徴（シグネチャ）コードの検出が非常に困難になる。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

ケルプが2億9,200万ドルのエクスプロイトについてLayerZeroを非難し、Chainlinkへの切り替えを計画

プロジェクト進捗執行措置セキュリティインシデント

火曜日にKelp DAOが発表したところによると、同プロトコルは、4月18日に2億9,200万ドルのエクスプロイトを可能にしたリスクの高い設定を承認したのはLayerZeroだと非難した。Kelpは、クロスチェーン取引を検証するために単一の主体に依存する1-of-1の検証者（verifier）設定が、LayerZeroの担当者によって承認されたと述べた。w

GateNews2時間前

ド・クォン、米国で禁錮15年の判決　テラ崩壊が400億ドル超の損失を引き起こした

執行措置セキュリティインシデント

デジタル・アセットによれば、Terraform Labsの創業者であるド・クォンが、2024年12月12日に米国の連邦判事によって詐欺およびマネーロンダリングの罪で懲役15年を言い渡された。クォンは、その後、韓国への引き渡しの可能性に備えて約6年ほど服役すると見込まれている。これに続く

GateNews7時間前

Bubblemaps：MYSTERY トークンに集中管理の兆候。ローンチ時点で90のウォレットが供給の90%を保有

セキュリティインシデントオンチェーンデータ

オンチェーン分析プラットフォームのBubblemapsによると、MYSTERYトークンはローンチ時に集中した支配の兆候を示し、同プラットフォームはそれを「模範的な詐欺（textbook scam）」だと説明している。Bubblemapsは、ローンチ時におよそ90のウォレットがトークンの供給の約90%を集めており、そしてそれ以来…

GateNews9時間前

ワサビ・プロトコルの攻撃者が5.9Mドルの盗難資金を5月5日にTornado Cashへ送金した

執行措置セキュリティインシデントオンチェーンデータ

オンチェーン分析者のSpecterによると、Wasabiプロトコルの攻撃者は5月5日に盗難資金約590万ドル（$5.9 million）をTornado Cashへ移転し、中央集権的なコインミキシング操作を完了させた。資金は、KelpDAOでの過去の侵害を含む複数段階の複雑な送金経路をたどっている。

GateNews12時間前

0/400

コメントなし