マルウェア

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Cointelegraph 报道，网络安全研究员 Jeremiah Fowler 发现了一个包含约 1.49 亿用户名和密码的公开数据库，这些数据通过信息窃取恶意软件从被感染的个人设备中收集。该数据库包含与多个主要平台相关的账户信息，其中至少有 42 万条与币安用户相关的登录凭证。専門家は、これはバイナンスのシステムが侵害されたのではなく、感染したデバイスから保存されたログイン情報を抽出するために「情報窃取」マルウェアを使用したものであると強調しています。このマルウェアはゲームのチートツールやモディファイアに偽装し、特に暗号通貨ウォレットやブラウザ拡張機能を標的にしており、100種類以上のブラウザと少なくとも80の暗号通貨取引所に影響を与えています。これにはバイナンス、Coinbase、Crypto.com、MetaMaskなどが含まれます。

据市场消息，一场针对 Cardano 用户的高级钓鱼攻击正在通过伪装 "Eternl Desktop" 钱包发布公告传播，诱导用户下载安装包含远程控制工具的恶意 MSI 文件。攻击者伪造官方语气并引用 NIGHT 与 ATMA 代币激励，利用域名 download.eternldesktop.network 传播无签名安装包。安全研究员揭示该文件内含 LogMeIn Resolve 组件，可实现远程命令执行与系统持久控制。建议用户仅通过官方渠道获取钱包软件。

据 financefeeds 报道，全球网络安全公司卡巴斯基发布紧急警报，关注一种名为 "Stealka" 的新型复杂信息窃取工具，该软件已开始对 Windows 用户发起大规模攻击。该恶意软件于 2025 年底被发现，专门设计用来收集敏感的金融数据、浏览器凭证和加密货币钱包信息。Stealka 主要通过像 GitHub 和 SourceForge 这样的欺骗性平台分发，伪装成盗版软件或高需求应用的 "破解"。该恶意软件尤其危险，因为它利用先进的混淆技术绕过传统的基于签名的安全解决方案，通常在对受害者设备进行全面扫描时保持不被发现。这一威胁出现在全年密码窃取侦测激增近 60% 之际，标志着数字金融犯罪演变中更为激进的阶段。

慢雾首席情報セキュリティ責任者 23pds が発信した情報によると、macOS プラットフォームで活躍する MacSync Stealer マルウェアが明らかに進化しており、すでにユーザーの資産が盗まれています。彼が転送した記事では、初期の「ドラッグ＆ドロップ」や「ClickFix」などの低いハードルの誘導手法から、コード署名を行い、Apple の公証（notarized）を通過した Swift アプリケーションにアップグレードされ、隠蔽性が大幅に向上したことが述べられています。研究者は、このサンプルが「zk-call-messenger-installer-3.9.2-lts.dmg」という名前のディスクイメージ形式で配布されており、即時通信やツール系アプリに偽装してユーザーにダウンロードを促していることを発見しました。従来とは異なり、新しいバージョンはユーザーに端末操作を要求せず、内蔵された Swift 補助プログラムがリモートサーバーからコード化されたスクリプトを引き出して実行し、情報窃取プロセスを完了します。このマルウェアはコード署名を完了し、Apple の公証を通過しており、開発者チーム ID は GNJLS3UYZ4 です。関連するハッシュは分析時に Apple によって取り消されていません。これは、デフォルトの macOS セキュリティメカニズムの下で「信頼性」が高く、ユーザーの警戒を回避しやすいことを意味します。研究では、この DMG のサイズが異常に大きく、LibreOffice 関連の PDF などの囮ファイルが含まれており、さらなる疑念を減少させるために使用されていることが明らかになりました。セキュリティ研究者は、この種の情報窃取トロイの木馬が主にブラウザデータ、アカウント認証情報、暗号ウォレット情報をターゲットにすることを指摘しています。マルウェアが Apple の署名と公証メカニズムを体系的に悪用し始めるにつれて、暗号資産ユーザーが macOS 環境で直面するフィッシングや秘密鍵漏洩のリスクが高まっています。

据慢雾科技首席信息安全官 23pds 披露，信息窃取恶意软件 MacSync 出现新变种，可成功绕过 macOS Gatekeeper 安全机制，已有用户资产被盗。该恶意软件采用多种技术逃避检测，包括文件膨胀、网络连接验证及执行后自毁脚本等。攻击者可通过此软件窃取受害者的 iCloud 钥匙串、浏览器密码以及加密货币钱包等敏感数据。用户应提高警惕，避免从不明来源下载软件，及时更新操作系统安全补丁，并采取额外措施保护加密资产安全。

ネットセキュリティの非営利団体 Security Alliance は、現在、北朝鮮のハッカーによる詐欺の試みが毎日複数発見されていると警告しています。これらの攻撃は、偽の Zoom 会議を通じて被害者を誘い込むものです。この詐欺手法は、「偽の Zoom 通話」において被害者にマルウェアをダウンロードさせ、パスワードや秘密鍵を含む敏感な情報を盗み取るものです。セキュリティ研究者の Taylor Monahan は、この戦術がユーザーから 3 億ドル以上の資産を奪っていると警告しています。詐欺は通常、Telegram アカウントから送信されたメッセージから始まります。このアカウントはしばしば被害者の「知人」に属しています。知人の身分のため、被害者は警戒心を緩めます。その後、会話は自然に「Zoom で昔話をする」招待に移行します。通話が始まると、ハッカーは音声の問題が発生したふりをし、「パッチファイル」と称するものを送信します。被害者がそのファイルを開くと、デバイスにマルウェアが植え付けられます。その後、ハッカーは「また今度」と言ってこの偽の通話を終了します。

据 Hackread.com 报道，网络安全公司 Hudson Rock 在分析一份 LummaC2 信息窃取恶意软件日志时，发现了一台被感染的设备，其操作者疑似为朝鲜国家支持的黑客组织中的恶意软件开发者。该设备曾被用于搭建支持 2025 年 2 月加密货币交易所 Bybit 价值 14 亿美元盗窃案的基础设施。分析表明，该设备上发现的凭据与攻击前注册的、用于仿冒 Bybit 的域名存在关联。设备本身配置高端，安装了 Visual Studio、Enigma Protector 等开发工具，以及 Astrill VPN、Slack、Telegram 等通信和数据存储类应用。其活动痕迹还显示，攻击者为实施钓鱼攻击，购买了相关域名并准备了虚假 Zoom 安装程序。这一发现罕见地揭示了朝鲜支持的黑客行动中资产共享的内部运作细节。

据 Cointelegraph 报道，Trustwave のサイバーセキュリティ研究チーム SpiderLabs の最新レポートによると、「Eternidade Stealer」と呼ばれる銀行トロイの木馬が WhatsApp を通じてブラジルで大規模に拡散しています。攻撃者は、偽の政府プログラム通知、宅配情報、投資グループなどのソーシャルエンジニアリング手法を利用して、ユーザーに悪意のあるリンクをクリックさせるように仕向けています。一度クリックされると、マルウェアはデバイスに感染し、WhatsApp アカウントを乗っ取り、自動的に被害者の連絡先リストに拡散します。このトロイの木馬は、ブラジルの複数の銀行、フィンテック企業、暗号通貨取引所のログイン資格情報をスキャンして盗むことができます。検出を避けるために、このマルウェアは固定サーバーアドレスではなく、プリセットの Gmail アカウントを使用して指示を受け取ります。セキュリティ専門家は、信頼できる連絡先からのものであっても、すべてのリンクに対して警戒を怠らず、ソフトウェアを更新してこのような攻撃から身を守ることを推奨しています。

タイの当局は水曜日、プーケットに隠れていた東欧のネットワーク犯罪者から、43.2万ドル以上の盗まれたデジタル資産を回収したと発表しました。地元メディアによると、タイのサイバー犯罪捜査局（CCIB）を率いるスラポン・プレンプット中将は、「293作戦」により、32万ドル相当の暗号通貨が押収され、タイの被害者に返還されたことを明らかにしました。このハッカーは、悪意のあるソフトウェアを展開し、被害者のデバイスに侵入して、暗号アカウントへの重要なアクセス証明である認証キーとリカバリーフレーズを盗んだとされています。

据 Decrypt 报道，谷歌威胁情报组最新报告显示，已发现至少五种新型恶意软件正在利用大型语言模型 (LLM) 动态生成和隐藏恶意代码。其中，与朝鲜相关的黑客组织 UNC1069 被发现使用 Gemini 探测钱包数据并制作钓鱼脚本，意图盗取数字资产。这些恶意软件采用 "実時間コード生成" 技术，通过调用外部 AI 模型如 Gemini 或 Qwen 2.5-Coder 来规避传统安全检测。谷歌表示已禁用相关账户并加强了模型访问的安全措施。

ChainCatcher のメッセージによると、SlowMist の余弦の情報によれば、北朝鮮のハッカーに関連するトロイの木馬 SilentSiphon は、Apple のメモ、Telegram、ブラウザの拡張機能からデータを取得できるほか、ブラウザやパスワードマネージャーから認証情報を取得し、多くのサービスに関連する設定ファイルから機密情報を取得することができます。ユーザーはセキュリティ意識を高め、定期的にソフトウェアのバージョンを更新し、出所不明のアプリケーションをダウンロードしないようにし、信頼できるセキュリティソフトウェアを使用して保護する必要があります。

ChainCatcher のメッセージによると、Decrypt の報道で、Google の脅威インテリジェンスチームが北朝鮮のハッカーが EtherHiding マルウェアを使用してネットワーク攻撃を行っていることを発見しました。このマルウェアは、ブロックチェーンのスマートコントラクト内に悪意のあるコードを隠すことで暗号通貨の盗難を実現し、主にイーサリアムと BNB チェーンを標的としています。

ChainCatcher のメッセージ、SlowMist の最高情報セキュリティ責任者 23pds が X プラットフォームで発表したところによると、AMOS スパイ木馬の変種 Odyssey が、Twitter などのチャネルを通じて偽の AI ツール広告を配信し、ユーザーを騙して AI ツールクライアントに偽装したマルウェアをダウンロードさせているとのことです。それは AppleScript スクリプトを主要なペイロードとして使用し、システム情報、ブラウザデータ、暗号通貨ウォレット情報などの敏感なデータを盗みます。

ChainCatcher のメッセージによると、Cointelegraph の報道に基づき、セキュリティ会社 Mosyle の研究によって、新たに発見されたマルウェア ModStealer が macOS、Windows、Linux システムの暗号通貨ユーザーを標的にし、ウォレットの秘密鍵やログイン資格情報を盗むことが明らかになりました。このマルウェアは、VirusTotal プラットフォームにアップロードされてから約1ヶ月間、主流のウイルス対策エンジンに検出されませんでした。ModStealer は、特に Web3 開発者を狙った偽の求人広告を通じて拡散します。ユーザーがマルウェアパッケージをインストールすると、このプログラムはシステムのバックグラウンドで実行され、クリップボードデータを盗み、スクリーンショットをキャプチャし、リモートコマンドを実行します。そのコードは、Safari および Chromium ブラウザのウォレット拡張機能を特に狙っています。ModStealer は、macOS にバックグラウンドプロキシを登録することで持続的に駐留し、サーバーはフィンランドにありますが、ドイツのインフラを通じてオペレーターの出所を隠す可能性があります。ブロックチェーンセキュリティ会社 Hacken の技術責任者は、開発者に対して求人者およびドメインの真実性を確認し、公共のコードリポジトリを通じてテストタスクを共有し、ウォレットや秘密鍵のない一時的な仮想マシンでファイルを開くように求めています。開発環境とウォレットストレージ環境を厳密に区別し、ハードウェアウォレットを使用し、デバイスのディスプレイで取引アドレスを確認することが強調されています。

ChainCatcher のメッセージによると、市場の情報では、セキュリティ会社 Mosyle がクロスプラットフォームのマルウェア ModStealer を公開しました。このマルウェアは、バックグラウンドアシスタントプログラムに偽装することで、主流のウイルス対策ソフトウェアの検出を回避し、Windows、Linux、macOS システム上のブラウザの暗号ウォレットデータを専門に盗み取ります。このソフトウェアは、求人広告に偽装して拡散され、Node.js 環境がインストールされている開発者をターゲットにしています。ModStealer は自動的に実行され、ウォレット拡張、システム資格情報、デジタル証明書を収集し、その後データをリモート C2 サーバーにアップロードします。セキュリティ専門家は、このマルウェアが暗号ユーザーとプラットフォームに対して直接的な脅威をもたらし、秘密鍵、リカバリーフレーズ、API キーの漏洩を引き起こし、大規模なチェーン上攻撃を引き起こす可能性があると警告しています。

ChainCatcher のメッセージによると、DuckDB の公式 Twitter が発表したところによれば、DuckDB の Node.js および Wasm パッケージが最近の npm サプライチェーン攻撃でマルウェアに感染したとのことです。公式は調査を行い、影響を受けたバージョンを廃止し、新しいバージョンをリリースしました。DuckDB は、npm データに基づいて、影響を受けたパッケージをダウンロードしたユーザーはいないと述べています。チームは安全に関する公告を発表し、事後分析および対応策を詳述しています。

ChainCatcher のメッセージによると、ReversingLabs の研究者が明らかにしたところによれば、7 月にリリースされた NPM パッケージ "colortoolsv 2" と "mimelib 2" は、Ethereum スマートコントラクトを利用して悪意のある URL を隠し、安全スキャンを回避しています。これらのパッケージはダウンローダーとして機能し、スマートコントラクトからコマンドとコントロールサーバーのアドレスを取得し、二段階のマルウェアをダウンロードします。これにより、ブロックチェーンのトラフィックが合法に見えるようになり、検出の難易度が増します。研究によれば、これは Ethereum スマートコントラクトが悪意のあるコマンド URL をホスティングするために使用されるのが初めて発見された事例であり、攻撃者がオープンソースリポジトリで検出を回避する戦略が急速に進化していることを示しています。

ChainCatcher のメッセージによると、Cointelegraph の報道に基づき、デジタル資産コンプライアンス会社 ReversingLabs の研究によれば、ハッカーは最近、Ethereum スマートコントラクトを利用して悪意のある命令を保存し、Node Package Manager（NPM）ソフトウェアパッケージリポジトリを通じて新しいタイプのマルウェアを拡散しています。7 月にリリースされた "colortoolsv2" と "mimelib2" パッケージは、ブロックチェーンスマートコントラクトを照会して第二段階のマルウェアダウンロードリンクを取得し、従来のセキュリティスキャンを回避します。この攻撃は大規模なソーシャルエンジニアリング詐欺の一部であり、ハッカーは GitHub に偽の暗号通貨取引ボットリポジトリを作成し、偽のコミット履歴、アカウントの維持、専門的な文書を通じて信頼できるイメージを構築しています。研究者は、北朝鮮のハッカーグループ Lazarus が類似の技術を使用したことがあるが、スマートコントラクトを利用して悪意のある URL をホスティングするのは初めての発見であり、攻撃戦略が進化し続けていることを示していると指摘しています。