トロイ

安全研究機関 Elastic Security Labs は、金融および暗号通貨業界の人々を対象とした新しい社会工学的攻撃活動を明らかにしました。攻撃者は LinkedIn と Telegram でベンチャーキャピタル機関を装い、ターゲットに内蔵された悪意のあるペイロードを持つ Obsidian ノートブックを開かせ、これまで記録されていなかった Windows リモートアクセス型トロイの木馬 PHANTOMPULSE を展開します。この攻撃は、ソフトウェアの脆弱性を利用することなく、Obsidian の Shell Commands プラグインを悪用してノートブックが開かれると自動的に悪意のあるコードを実行します。macOS 側では、混乱した AppleScript ローダーと Telegram チャンネルを組み合わせてバックアップの指令制御サーバーとして使用し、Windows 側では Ethereum の取引データを利用してブロックチェーン化された C2 アドレスの解決を実現します。

攻撃者は、JavaScriptで最も人気のあるHTTPクライアントライブラリAxiosの主要メンテナーのnpmアクセス令牌を盗み、その令牌を利用してクロスプラットフォームのリモートアクセス型トロイの木馬（RAT）を含む2つの悪意のあるバージョン（axios@1.14.1とaxios@0.3.4）を公開しました。これらはmacOS、Windows、Linuxシステムを対象としています。悪意のあるパッケージはnpmレジストリ上で約3時間生存した後に削除されました。セキュリティ会社Wizのデータによると、Axiosの週あたりのダウンロード数は1億回を超え、約80%のクラウドおよびコード環境に存在しています。セキュリティ会社Huntressは、悪意のあるパッケージが公開されてから89秒後に最初の感染を検出し、露出ウィンドウ期間内に少なくとも135のシステムが侵害されたことを確認しました。注目すべきは、Axiosプロジェクトは以前にOIDC信頼できる公開メカニズムやSLSAトレーサビリティ証明などの現代的なセキュリティ対策を導入していたにもかかわらず、攻撃者はこれらの防御を完全に回避しました。調査の結果、プロジェクトはOIDCを設定する際に従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存する場合、デフォルトで従来のトークンを優先して使用するため、攻撃者はOIDCを突破することなく公開を完了できました。

GoPlus 日本語コミュニティは X プラットフォームで警告を発表し、北朝鮮のハッカーが npm レジストリに 26 の悪意のあるパッケージを公開したと伝えています。これらの悪意のあるパッケージには、インストール中に自動的に実行されるインストールスクリプト ("install.js") が添付されており、"vendor/scrypt-js/version.js" にある悪意のあるコードを実行します。悪意のあるコードは、同じ悪意のある URL を通じてリモートアクセス型トロイの木馬（RAT）をダウンロードして実行し、キーボードの入力を記録したり、クリップボードを盗んだり、ブラウザの認証情報を収集したり、TruffleHog を使用して Git リポジトリの秘密をスキャンしたり、SSH キーを盗んだりするなどの悪意のある行為を実施します。この事件は、「Famous Chollima」と呼ばれる北朝鮮のハッカー活動に関連しています。

慢雾首席情報セキュリティ責任者 23pds は X プラットフォームで、"graphalgo" という名前の偽の採用活動がリモートアクセス型トロイの木馬（RAT）を利用して暗号通貨開発者を攻撃していると警告しています。

ChainCatcher のメッセージによると、公式の発表で Tether はそのトークン化された金 Tether Gold (XAUT) の時価総額が 20 億ドルを突破したと発表しました。Tether の実物金の総備蓄は 375,572.297 トロイオンスで、金の備蓄はスイスに保管されており、ロンドンの適格引き渡し基準に完全に準拠しています。流通中の XAUT トークンの総量は 522,089.3 枚です。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、セキュリティ会社 Check Point は、2024 年 3 月から活動を開始する「JSCEAL」と呼ばれるマルウェアについて警告しています。このマルウェアは、偽の Binance、MetaMask、Kraken など、約 50 種類の一般的な暗号アプリを通じて、広告を利用してユーザーにトロイの木馬をダウンロードさせる手口を取っており、世界的な影響を受ける人数は 1,000 万人を超える可能性があります。このトロイの木馬は JavaScript 言語を使用し、検出回避機能を備えており、ウォレット情報、アカウントパスワード、Telegram データ、ブラウザの Cookie を盗むことができます。主に Facebook などのプラットフォームを通じて広告を配信しています。

ChainCatcher のメッセージ、SlowMist テクノロジーの最高情報セキュリティ責任者 23pds が X プラットフォームで発表したところによると、暗号通貨ユーザーは TradingView のクラック版を装ったトロイの木馬に警戒するようにとのことです。最近、AMOS と Lumma の情報窃取プログラムが Reddit の投稿を通じて拡散しており、特に暗号通貨ユーザーをターゲットにして、ウォレットや個人データを盗み取っています。被害者には Mac と Windows のユーザーが含まれています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、テクノロジー大手のマイクロソフトは、Google Chrome ブラウザ内の 20 種類の暗号通貨ウォレット拡張機能を標的とした新型リモートアクセス型トロイの木馬（RAT）を発見しました。このトロイの木馬は、暗号資産を盗むことを目的としています。マイクロソフトのインシデントレスポンスチームは、3 月 17 日のブログ記事で、昨年 11 月に「StilachiRAT」と呼ばれるこのマルウェアを初めて検出したことを明らかにしました。このソフトウェアは、ブラウザに保存された認証情報、デジタルウォレット情報、およびクリップボードデータを盗むことができます。展開後、攻撃者は StilachiRAT を利用して 20 種類の暗号通貨ウォレット拡張機能の設定情報をスキャンし、Coinbase Wallet、Trust Wallet、MetaMask、OKX Wallet などの暗号ウォレットデータを盗むことができます。マイクロソフトの分析によれば、「RAT 機能を含む StilachiRAT の WWStartupCtrl64.dll モジュールの研究は、ターゲットシステムから情報を盗むために多様な手段を採用していることを示しています。」他の機能に加えて、このマルウェアは Google Chrome のローカルステートファイルに保存された認証情報を抽出し、パスワードや暗号鍵などの機密情報を取得するためにクリップボードの活動を監視することができます。また、イベントログを消去したり、サンドボックス内で実行されているかどうかを確認したりすることで、分析の試みを阻止する検出回避および逆証拠機能も備えています。現在、マイクロソフトはこのマルウェアの背後にいる黒幕を特定できていませんが、情報を公開することで潜在的な被害者の数を減らすことを期待しています。マイクロソフトは、ユーザーが悪意のあるソフトウェアの被害者にならないように、デバイスにアンチウイルスソフトウェアをインストールし、クラウドベースのフィッシング対策およびマルウェア対策コンポーネントを使用することを推奨しています。

ChainCatcher のメッセージによると、Decrypt の報道では、ネットワークセキュリティ会社 Kaspersky（カスペルスキー）が、ハッカーが著作権の苦情を利用して YouTube コンテンツクリエイターを脅迫し、動画の説明に暗号通貨マイニングトロイの木馬 SilentCryptoMiner を追加させていることを発見しました。このマルウェアは XMRig に基づいており、Ethereum、Ethereum Classic、Monero、Ravencoin などの暗号通貨をマイニングするために使用され、ビットコインブロックチェーンを通じてボットネットを制御します。ハッカーの主なターゲットは、Windows Packet Divert ドライバーのインストールチュートリアルを提供している YouTuber で、彼らは最初に動画に対して虚偽の著作権苦情を申し立て、その後クリエイターに連絡して自分がドライバーの開発者であると主張し、悪意のあるリンクを追加するよう要求します。現在、6万人のフォロワーを持つ YouTuber が被害を受けており、4万人以上が感染したファイルをダウンロードしたとされ、Kaspersky は少なくとも 2,000 台のデバイスが感染していると推定しています。Kaspersky のセキュリティ研究者 Leonid Bezvershenko は、ハッカーが YouTuber と視聴者の間の信頼を利用していると警告しており、このような脅威は Telegram などのプラットフォームにも広がる可能性があると述べています。彼は、ユーザーに対してウイルス対策ソフトを無効にするよう求めるチュートリアルを信じないようにし、ファイルをダウンロードする前にその出所を確認することを推奨しています。

ChainCatcher のメッセージによると、Binance は TROY-BEP20 トークン契約に潜在的なセキュリティ問題がある可能性があるため、ユーザーを保護するために、2025 年 01 月 02 日に TROY（BSC）の入金業務を一時停止したと発表しました。 上記のトークンに関連する他のサービス、例えばイーサリアムネットワーク（ETH）を通じての入金および出金業務は影響を受けません。

ChainCatcher のメッセージ、SlowMist の最高情報セキュリティ責任者 23pds が投稿をリマインドしました。最近、著名な暗号通貨盗難トロイの木馬 MacOS Stealer が突然オープンソース化されました。以前は、その攻撃ソースコードが 1 BTC の価格で販売されていましたが、現在のオープンソース化は、より多くの悪意のある攻撃者がこのツールを簡単に入手できることを意味します。これは、攻撃者が「一人一台」の攻撃ライブラリを持つ可能性があるだけでなく、より隠れた複雑な攻撃手法を生み出す可能性があり、暗号通貨資産の安全に対してより大きな挑戦をもたらします。

ChainCatcher のメッセージによると、The Block が報じたところでは、デトロイト市の官僚は木曜日に、この市がアメリカで暗号通貨決済を受け入れる最大の都市になると発表しました。住民は PayPal が管理する安全なプラットフォームを通じて、暗号通貨で税金やその他の市の料金を支払うことができます。財務責任者の Nikhil Patel は、このオプションが 2025 年中頃に導入される予定であり、同時に市の支払いサービスのさらなる改善も行われると述べました。これはデトロイト市のより大きな戦略の一部であり、公共サービスを強化し、市民の参加を促進し、経済成長を促す革新的な技術を探求することを目的としています。

ChainCatcher のメッセージによると、RootData のデータでは、Troy トークン（TROY）の24時間の上昇率は61.8%に達し、現在の価格は0.0036ドルです。さらに、Web3 資産データプラットフォーム RootData によると、Troy は主要な DEX、中央集権型取引所、流動性プールおよびその他の必要なソースからの流動性をグローバルプールに集約するスマート混合資産管理プラットフォームです。 TROY は、グローバルな投資家向けにトレンド追跡戦略、アービトラージ戦略などの一連の量的取引戦略を提供し、ブロックチェーンデータや市場データなどの複雑なデータマトリックスフレームワークを通じてユーザーの意思決定を支援します。

ChainCatcher のメッセージ、dYdX 財団の CEO Charles d'Haussy がソーシャルメディアで投稿し、明日の dYdX Day イベントで、スピーカーが堀、トロイの木馬、フライホイールに関する秘密を明らかにすると述べました。

ChainCatcher のメッセージ、ネットワークセキュリティ会社 Doctor Web は最近、オフィスプログラム、ゲームチートプログラム、オンライン取引ボットなどの合法的なソフトウェアに偽装したマルウェアを検出したと報告しています。この暗号通貨のハイジャックと盗難ソフトウェアは、主にロシアで 28,000 人以上のユーザーに感染しており、ベラルーシ、ウズベキスタン、カザフスタン、ウクライナ、キルギス、トルコも含まれています。Doctor Web によると、ハッカーは約 6,000 ドル相当の暗号通貨を取得しただけです。しかし、マルウェアの作成者が暗号通貨のマイニングからどれだけの利益を得たかは不明です。このネットワークセキュリティ会社は、マルウェアの出所には詐欺的な GitHub ページや悪意のあるリンクを含む YouTube の動画説明が含まれていると述べています。デバイスが感染すると、秘密裏に展開されたソフトウェアは計算リソースをハイジャックして暗号通貨をマイニングします。"Clipper" は、ユーザーがデバイスのクリップボードにコピーした暗号財布のアドレスを監視し、その後、マルウェアはそれを攻撃者が制御するアドレスに置き換えます - これが彼らが少量の暗号通貨を盗む方法です。