デジタル通貨が成長し続けるにつれ、それを盗むためにサイバー犯罪者が用いる手口も増えています。最近、アプリ開発の部品を探すソフトウェア開発者に人気のプラットフォームであるNuGet上で、重大なサイバーセキュリティ脅威が見つかりました。この発見はソフトウェアセキュリティ企業ReversingLabs(RL)によるもので、月曜日に公表されました。
信頼を築くための巧妙な手口
RLの研究者は、2025年7月以降、ハッカー集団が信頼できるツールに見せかけた「汚染された」コードパッケージをアップロードしていることを突き止めました。しかし、彼らは単に悪意あるコードを投稿しただけではなく、心理的なトリックも用いていました。
例えば、彼らはホモグリフを使用しました。これは、肉眼では同一に見えるものの、コンピューターにとっては異なる文字を使う手法です。代表例がNetherеum.Allというパッケージで、特殊な「е」を使って有名なEthereumライブラリになりすましていました。
詐欺をさらにもっともらしく見せるため、ハッカーはバージョンの水増し(短期間に何十回も更新をリリースして、活発で信頼できるプロジェクトを装うこと)を行いました。中には、コミュニティがすでにそのコードを信頼していると思い込ませるために、ダウンロード数が数百万に達しているかのような偽の表示を備えたパッケージもありました。
「RLの研究者は、人気の#Ethereumライブラリ「#Netherum」になりすましている悪意ある#NuGetパッケージを発見しました。ダウンロード数は1,000万超ですが、これは間違いなく人為的に水増しされています」と、ReversingLabsはX(旧Twitter)に投稿しました。
攻撃の背後にいたのは誰か?
この攻撃の波の背後に誰がいたのかについて、研究者はSolnetAllというパッケージが十分に調査される前に削除されたことを確認しました。しかし、追加の調査により、DamienMcdougalという作者に紐づいていたことが判明しました。
これは重要な名前です。というのも、同じ作者がNBitcoin.Unifiedのような、他の窃取関連パッケージにも関与していたためです。研究者がHackread.comに独占共有したブログ記事によれば、これらの攻撃者は執拗で、発覚すると新たな偽名へと移ることが多いようです。
資金が消える3つの方法
ReversingLabsが発見した14件のパッケージは、3つのグループに分けられました:
9件のパッケージは、シードフレーズと秘密鍵(暗号資産ウォレットのマスターパスワード)を奪うために作られていました。研究者によれば、これらのツールには「悪意あるコードが巧妙に注入」されており、ユーザーが最も無防備なときにだけ作動するようになっていました。
Coinbase.Net.Apiを含む第2のグループは、別の手口を使っていました。ユーザーが暗号資産を送金しようとすると、マルウェアが100ドルを超える取引について、送金先アドレスを密かにハッカーのウォレットに差し替えるのです。
GoogleAds.APIというパッケージはOAuthトークンの窃取に焦点を当てていました。これらのトークンがあれば、ハッカーはパスワードなしでGoogle Adsアカウントにログインでき、被害者の資金を不正広告に費やす可能性があります。
影響はツールをダウンロードした本人に限りません。これらのパッケージは他のアプリを構築するために使われるため、開発者が誤って盗難コードを自分の販売する製品に組み込んでしまい、感染が「下流」へと広がって、何千人もの無関係なユーザーに及ぶ恐れがあります。このキャンペーンは、デジタルセキュリティにおいて信頼がしばしば最も弱いリンクであることを示しています。
翻訳元: https://hackread.com/nuget-malicious-packages-steal-crypto-ad-data/
