最近、ReversingLabsの研究チームが懸念すべき発見を明らかにしました:ハッカーが巧妙にEthereumスマートコントラクトを利用して悪意のあるプログラムのURLを隠しています。この調査では、攻撃者がnpmソフトウェア罠colortoolv2とmimelib2をダウンローダーとして使用し、インストールが完了するとEthereumスマートコントラクトを照会して第2段階の悪意のあるプログラムの指示とコントロール(C2)インフラ情報を取得することが示されています。ReversingLabsの研究者Lucija Valenticは、この攻撃手法が非常に創造的で前例がないものであり、通常はソフトウェアの罠スクリプト内の疑わしいURLをマークする従来のスキャンメカニズムを成功裏に回避したと述べています。## 悪意のあるプログラムが巧妙にブロックチェーンに隠れているハッカーたちはEthereumスマートコントラクトの特性を利用して、悪意のあるコードを一見普通のindex.jsファイルに隠している。実行時、そのファイルはブロックチェーンにアクセスしてC2サーバーの詳細情報を取得する。ReversingLabsの研究によれば、このようなブロックチェーンホスティングの利用は回避戦略が新たな段階に入ったことを示している。研究者はGitHub上で広範なスキャンを行い、これらのnpm罠がSolana-trading-bot-v2やHyperliquid-trading-bot-v2などの暗号通貨ロボットに偽装されたリポジトリに埋め込まれていることを発見しました。これらのリポジトリは専門ツールに偽装され、複数回のコミット、コンテナ、スターを持っていますが、実際にはすべて偽物です。## ハッカーの巧妙な偽装と持続的な進化研究によると、7月に作成されたコードリポジトリを提出またはコピーするアカウントは、いかなるコーディング活動も示さなかった。ほとんどのアカウントはそのコードリポジトリにREADMEファイルを埋め込んでいた。提出回数は自動化プログラムによって人工的に生成されており、コーディング活動を誇張する目的があった。例えば、記録されたほとんどの提出は実質的な更新ではなく、ライセンスファイルの変更だけだった。研究者は、一旦検出されると、ハッカーが迅速に依存関係を異なるアカウントに切り替えることを発見しました。colortoolsv2が発見された後、彼らはmimelibv2の使用に切り替え、その後mw3ha31qとcnaovallesに移行しました。これらの行動は、提出数の膨張と悪意のある依存関係の埋め込みを引き起こしました。ReversingLabsは今回のイベントをStargazerのGhost Networkと関連付けており、これは悪意のあるリポジトリの信頼性を向上させることを目的とした調整アカウントシステムです。この攻撃の標的は、誇張されたGitHubの統計データを合法的なアカウントの指標と誤認する可能性のあるオープンソースの暗号通貨ツールを探している開発者たちです。## ブロックチェーンエコシステムが直面している持続的な脅威今回発見された攻撃は孤立したものではありません。2025年3月、ResearchLabsは他の悪意のあるnpm罠を発見しました。これらの罠は、合法的なEthers罠を変更して逆シェルを有効にするコードを使用しています。さらに、悪意のあるコードを含むnpm罠であるEther-provider2とethers-providerZも発見されました。過去を振り返ると、2024年12月にPyPIのultralyticsが侵害され、暗号通貨マイニングのマルウェアを広めるために利用された事件や、Google DriveやGitHub Gistなどの信頼できるプラットフォームを利用して悪意のあるコードを隠す事例は、この種の攻撃の多様性を示しています。研究によれば、2024年には暗号に関連するサプライチェーン事件が23件記録され、マルウェアやデータ漏洩などの問題が発生しました。## セキュリティの提案と将来の展望ReversingLabsの研究者Valenticは、この発見が悪意のある攻撃者がオープンソースプロジェクトや開発者に対して回避検出戦略を迅速に進化させていることを浮き彫りにしていると強調しました。彼女は、開発者がオープンソースライブラリを採用する前に、その合法性を慎重に評価する必要があると警告しました。なぜなら、スター数、コミット数、メンテナーの数などの指標は簡単に操作できるからです。関連するnpmの罠は削除され、関連するGitHubアカウントも閉鎖されましたが、この事件はソフトウェア脅威エコシステムが進化し続けていることを明らかにしました。開発者とセキュリティ専門家は警戒を怠らず、これらのますます複雑化する脅威に対処するために、より厳格な検証手段を講じる必要があります。
Ethereumスマートコントラクトがハッカーの悪意のあるプログラムを隠す新たな温床となる
最近、ReversingLabsの研究チームが懸念すべき発見を明らかにしました:ハッカーが巧妙にEthereumスマートコントラクトを利用して悪意のあるプログラムのURLを隠しています。この調査では、攻撃者がnpmソフトウェア罠colortoolv2とmimelib2をダウンローダーとして使用し、インストールが完了するとEthereumスマートコントラクトを照会して第2段階の悪意のあるプログラムの指示とコントロール(C2)インフラ情報を取得することが示されています。
ReversingLabsの研究者Lucija Valenticは、この攻撃手法が非常に創造的で前例がないものであり、通常はソフトウェアの罠スクリプト内の疑わしいURLをマークする従来のスキャンメカニズムを成功裏に回避したと述べています。
悪意のあるプログラムが巧妙にブロックチェーンに隠れている
ハッカーたちはEthereumスマートコントラクトの特性を利用して、悪意のあるコードを一見普通のindex.jsファイルに隠している。実行時、そのファイルはブロックチェーンにアクセスしてC2サーバーの詳細情報を取得する。ReversingLabsの研究によれば、このようなブロックチェーンホスティングの利用は回避戦略が新たな段階に入ったことを示している。
研究者はGitHub上で広範なスキャンを行い、これらのnpm罠がSolana-trading-bot-v2やHyperliquid-trading-bot-v2などの暗号通貨ロボットに偽装されたリポジトリに埋め込まれていることを発見しました。これらのリポジトリは専門ツールに偽装され、複数回のコミット、コンテナ、スターを持っていますが、実際にはすべて偽物です。
ハッカーの巧妙な偽装と持続的な進化
研究によると、7月に作成されたコードリポジトリを提出またはコピーするアカウントは、いかなるコーディング活動も示さなかった。ほとんどのアカウントはそのコードリポジトリにREADMEファイルを埋め込んでいた。提出回数は自動化プログラムによって人工的に生成されており、コーディング活動を誇張する目的があった。例えば、記録されたほとんどの提出は実質的な更新ではなく、ライセンスファイルの変更だけだった。
研究者は、一旦検出されると、ハッカーが迅速に依存関係を異なるアカウントに切り替えることを発見しました。colortoolsv2が発見された後、彼らはmimelibv2の使用に切り替え、その後mw3ha31qとcnaovallesに移行しました。これらの行動は、提出数の膨張と悪意のある依存関係の埋め込みを引き起こしました。
ReversingLabsは今回のイベントをStargazerのGhost Networkと関連付けており、これは悪意のあるリポジトリの信頼性を向上させることを目的とした調整アカウントシステムです。この攻撃の標的は、誇張されたGitHubの統計データを合法的なアカウントの指標と誤認する可能性のあるオープンソースの暗号通貨ツールを探している開発者たちです。
ブロックチェーンエコシステムが直面している持続的な脅威
今回発見された攻撃は孤立したものではありません。2025年3月、ResearchLabsは他の悪意のあるnpm罠を発見しました。これらの罠は、合法的なEthers罠を変更して逆シェルを有効にするコードを使用しています。さらに、悪意のあるコードを含むnpm罠であるEther-provider2とethers-providerZも発見されました。
過去を振り返ると、2024年12月にPyPIのultralyticsが侵害され、暗号通貨マイニングのマルウェアを広めるために利用された事件や、Google DriveやGitHub Gistなどの信頼できるプラットフォームを利用して悪意のあるコードを隠す事例は、この種の攻撃の多様性を示しています。研究によれば、2024年には暗号に関連するサプライチェーン事件が23件記録され、マルウェアやデータ漏洩などの問題が発生しました。
セキュリティの提案と将来の展望
ReversingLabsの研究者Valenticは、この発見が悪意のある攻撃者がオープンソースプロジェクトや開発者に対して回避検出戦略を迅速に進化させていることを浮き彫りにしていると強調しました。彼女は、開発者がオープンソースライブラリを採用する前に、その合法性を慎重に評価する必要があると警告しました。なぜなら、スター数、コミット数、メンテナーの数などの指標は簡単に操作できるからです。
関連するnpmの罠は削除され、関連するGitHubアカウントも閉鎖されましたが、この事件はソフトウェア脅威エコシステムが進化し続けていることを明らかにしました。開発者とセキュリティ専門家は警戒を怠らず、これらのますます複雑化する脅威に対処するために、より厳格な検証手段を講じる必要があります。