セキュリティ機構の慢霧（マンドウ）が緊急警報を発表。北朝鮮のLazarus組織傘下の子組織HexagonalRodentがWeb3開発者を標的に攻撃を行っている。高額のリモート勤務などのソーシャルエンジニアリング手段を用いて、悪意のあるソフトウェアのバックドアを含むスキル評価コードを開発者に実行させ、最終的に暗号資産を窃取する。Expelの調査報告によると、2026年上半期の最初の3か月で損失額は1,200万米ドルに達した。

攻撃手法：スキル評価コードが主要な感染入口

攻撃者はまずLinkedInまたは求人プラットフォームで標的に連絡するか、偽の会社Webサイトを作成して求人情報を掲載し、「在宅スキル評価」を口実に開発者に悪意のあるコードを実行させる。評価コードには2つの感染経路が含まれる：

VSCode tasks.json攻撃：runOn: folderOpen指示を含むtasks.jsonファイルへ悪意のあるコードを埋め込み、開発者がVSCodeでコードファイルのフォルダを開くだけで、悪意のあるソフトウェアが自動的に実行される。

コード内蔵バックドア：評価コード自体にバックドアを埋め込み、コード実行時に感染を発動。VSCodeを使用していない開発者に対して代替の入口を提供する。

使用される悪意のあるソフトウェアには、BeaverTail（NodeJSの多機能窃取・スパイツール）、OtterCookie（NodeJSのリバースシェル）、InvisibleFerret（Pythonのリバースシェル）が含まれる。

初回サプライチェーン攻撃：fast-draft VSX拡張が侵害される

2026年3月18日、HexagonalRodentはVSCode拡張「fast-draft」に対してサプライチェーン攻撃を仕掛け、侵害された拡張を通じてOtterCookieの悪意のあるソフトウェアを拡散した。慢霧は確認した。2026年3月9日、fast-draft拡張の開発者と同名のユーザーがOtterCookieに感染していた。

システムが感染している可能性がある場合、以下のコマンドで既知のC2サーバー（195.201.104[.]53）に接続しているかを確認できる： MacOS/Linux：netstat -an | grep 195.201.104.53 Windows：netstat -an | findstr 195.201.104.53

AIツールの悪用：ChatGPTとCursorが悪意をもって使用されたことが確認される

HexagonalRodentは大量にChatGPTとCursorを攻撃の補助に使用しており、悪意のあるコードの生成や偽の会社Webサイトの構築を含む。AIが生成した悪意のあるコードを見分ける鍵となるサインは、コード内で絵文字が大量に使用されている点（手書きコードでは非常にまれ）である。

Cursorは関連するアカウントとIPを1営業日以内にブロックした。OpenAIは、ChatGPTの使用が限定的であることを確認し、これらのアカウントが求めている支援は正当なセキュリティのユースケースにおけるデュアルユースのシナリオに属すると説明。継続的な悪意のあるマルウェア開発活動は確認されていない。少なくとも13件の感染済みウォレットの資金流入が、既知の北朝鮮のイーサリアムアドレスへ送金されており、110万米ドル超を受領していることが確認されている。

よくある質問

Web3開発者は、この種の攻撃からどのように自分を守れますか？

中核となる防御策は以下のとおり：（1）不審な求人相手に対して高度な警戒心を保ち、特に在宅コード評価を求める機会に注意すること；（2）サンドボックス環境で、メインシステムではなく、不慣れなコードリポジトリを開くこと；（3）VSCodeのtasks.jsonファイルを定期的に確認し、未承認のrunOn: folderOpenタスクがないことを確認すること；（4）ハードウェアセキュリティキーで暗号ウォレットを保護すること。

自分のシステムが感染しているかどうか、どう確認できますか？

クイック自己点検コマンドを実行する：MacOS/Linuxユーザーはnetstat -an | grep 195.201.104.53を実行し、Windowsユーザーはnetstat -an | findstr 195.201.104.53を実行する。既知のC2サーバーとの持続的な接続を見つけた場合は、直ちにネットワークを切断し、全面的なマルウェアスキャンを実施すべきである。

HexagonalRodentはなぜNodeJSとPythonをマルウェア言語として選んだのですか？

Web3開発者は通常、システムにNodeJSとPythonをインストールしているため、悪意のあるプロセスが通常の開発者の活動に溶け込み、アラートを引き起こさない。これら2言語は従来のマルウェア対策システムの主要な監視対象ではなく、さらに商用のコード難読化ツールの使用により、特徴（シグネチャ）コードの検出が非常に困難になる。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

4月に暗号資産のハッキングが過去最多を記録し、20件以上の悪用、損失は6億ドル超

セキュリティインシデント業界レポート

DeFi Llamaによると、暗号資産のハッキング件数は4月に過去最高を記録し、20件超の悪用が発生しており、事件数ベースで暗号資産史上最もハッキングされた月となりました。総損失は6億ドルを超え、KelpDAOの2億9200万ドルの悪用とDrift Protocolの2億8000万ドルのハックが、t

GateNews56分前

北朝鮮のスパイが$285M 盗難作戦におけるドリフトを標的にした

solana news 地政学執行措置セキュリティインシデント

## ドリフト盗難作戦報道によると、北朝鮮の国家支援によるスパイが、暗号資産プラットフォームのDriftを標的にして直接の作戦を実行し、$2億8,500万（2億8,500万ドル）を流出させた。この作戦には、標的との直接的な関わりを何か月も行うことが含まれていた。 ## より広範な北朝鮮のサイバー脅威ある調査によれば

CryptoFrontier3時間前

Purrlend は 4 月 25 日に HyperEVM と MegaETH 間で 152 万ドルのセキュリティ侵害を受けました

セキュリティインシデント

Purrlendの公式インシデントレポートによると、4月25日にプロトコルはセキュリティ侵害を受け、HyperEVMおよびMegaETHの導入において約152万ドルの損失が発生しました。攻撃者は2/3マルチシグウォレットを侵害し、管理者権限を自分たちに付与しました（これには含まれており）

GateNews3時間前

Polymarket、Chainalysisを活用してインサイダー取引を捜査しつつ、評価額150億ドルとCFTCの承認を求める

予測市場パートナーシップ・エコシステム執行措置セキュリティインシデント

The Blockによると、Polymarketは木曜日にChainalysisを起用し、予測市場が、評価額150億ドルで4億ドルの資金調達を目指し、米国での再開について商品先物取引委員会の承認を得ようとしている中で、インサイダー取引や市場操作の取り締まりを支援してもらうとのことです。

GateNews4時間前

0/400

コメントなし