北朝鮮とのつながりを持つハッカーは、AI支援型マルウェアとバックドアされたコーディングチャレンジを使用して、Web3開発者から静かに数百万ドルの暗号通貨を窃取しています。
Expelは高い信頼度で、HexagonalRodentが詐欺的なIT労働者事業から進化した可能性のあるDPRK国家支援の部分集団であり、マルウェア主導の盗難に完全にシフトしたと評価しています。
わずか3ヶ月で、同グループは2,726台の感染した開発者システムの26,584個の暗号通貨ウォレットからデータを流出させ、最大1,200万米ドルの資産を露出させました。ただし、ハードウェアセキュリティトークンは損失を制限したようです。
財務的な動機がある一方で、オペレーターはFamous Chollimaなど他のLazarus関連APTと同じツール、トレードクラフト、インフラストラクチャパターンを共有しています。
Expel‑TA‑0001として追跡され、HexagonalRodentとニックネーム付けられた活動クラスターは、より大規模なLazarus生態系の部分集団と思われ、古典的なスパイ活動ではなくデジタル資産の盗取に強く焦点を当てています。
同グループは3つのマルウェアファミリーに大きく依存しています:BeaverTailとOtterCookieはどちらもNodeJSベースの多目的ツールキットで、パスワード盗取、ファイルアクセス、リバースシェル機能を備えており、InvisibleFerretはPythonベースのリバースシェルです。
バックドアされたコーディングテスト
HexagonalRodentの主要なアクセス経路は、LinkedInなどのプラットフォームおよびニッチな暗号求人掲示板で偽りの高給職を使用してWeb3開発者をソーシャルエンジニアリングすることです。
ターゲットが応募すると、「リクルーター」はGitプラットフォームまたはプロジェクトアーカイブでホストされた自宅受け取りコーディング評価を送信します。これは通常のスキルテストのように見えますが、隠されたバックドアが含まれています。
重要なテクニックの1つはVS Codeのtasks.json設定ファイルを悪用し、runOn: “folderOpen”で悪意のあるタスクをプリロードするため、被害者がVS Codeでプロジェクトフォルダを開くとすぐにマルウェアが自動的に実行されます。
他のエディタまたはセーフモードを使用している開発者の場合、追加のバックドアはチャレンジコード内に直接埋め込まれ、プロジェクトがビルドまたは実行されるときに実行されます。
一度アクティブになると、マルウェアはNodeJSベースのコマンド&コントロール(C2)インフラストラクチャに接続し、認証情報盗取、ウォレットハーベスティング、およびフルリモートコントロールを可能にします。
大規模な取引所やフィンテックに浸透するStardust ChollimaやPressure Chollimaなどのより特定の目的を持つDPRK部隊とは異なり、HexagonalRodentは個々の開発者と小規模なWeb3プロジェクトの大量侵害に焦点を当てています。
Expelは企業ネットワーク内でのラテラルムーブメントの証拠を見つけませんでした。代わりに、オペレーターはブラウザに保存されたパスワード、シードフレーズ、ウォレットデータを開発者エンドポイントから直接盗むことに注力しています。
2026年3月、同グループは「fast‑draft」Open VSXエコシステム内の拡張機能を侵害してOtterCookieマルウェアを配布することで、サプライチェーン領域に入りました。
テレメトリーは拡張機能のC2サーバー195.201.104[.]53をHexagonalRodentにすでに帰属しているOtterCookieインフラストラクチャに結び付け、Expelは拡張機能の著者と一致するアカウントが悪意のあるアップデートがライブになる数日前に感染していたことを確認しました。
Expelの調査は、HexagonalRodentがマルウェアローダーの作成からフィッシング詐欺ルアーの研磨、偽の企業ウェブサイトの構築に至るまで、その操作全体で生成AIに深く投資していることを示しています。
偽のC経営陣はその会社のLinkedInページに記載されることが多く、しばしばそのウェブサイトにも記載されていました。
テレメトリーは同グループをChatGPTおよびCursorの使用に結び付けました。両ベンダーは通知後に特定されたアカウントをブロックしたことを確認し、主に大規模な自動マルウェア生成ではなく「デュアルユース」セキュリティおよび開発クエリを発見しました。
2025年のAnthropicレポートはまた、BeaverTail、OtterCookie、およびInvisibleFerretの洗練を目的としたDPRK関連のClaudeアカウント登録試行も文書化しています。ただし、これらのアカウントはプロンプトが送信される前に禁止されました。
チームスケールでの工業化されたウォレット盗難
複数のReactJSベースのC2および管理パネルをリバースエンジニアリングすることで、ExpelはHexagonalRodentの内部構造とワークフローを再構成しました。
次に見つけたパネルはブラウザベースのリモートコントロールユーティリティでした。脅迫者に被害者の画面を表示し、キーボード、マウス、クリップボードを制御する機能(VNCのような機能)を提供しました。
Expelはさらに、オペレーターが商用AIモデルに自分たちの悪意のあるコーディング評価を「監査」するよう促すのを観察し、これは他の開発者がAI支援コードレビューを使用して検出するのを難しくする可能性があります。
パネルには、リアルタイムinfostealerビュー、リモートデスクトップのようなコントロール、ブラウザベースのファイルエクスプローラー、および演算子およびチームごとの暗号ウォレットおよび残高を追跡する「ワークフロー」ダッシュボードが含まれます。
OtterCookieサンプルのt(チームID)およびuserKey(メンバー識別子)などのハードコードされたフィールドはパネルロジックと一致し、ウォレットをチームおよびシステムホスト名でグループ化し、少なくとも6つのアクティブなチームと31の異なるキャンペーンIDを示しています。
興味深いことに、1つのパネルはC2としてではなく、むしろワークフォーストラッカーとして機能しているようで、「6team」、「7team」、「101team」などのチームをウォレット獲得によってランク付けし、すべてのオペレーターの「admin」ビューを表示し、詐欺的なIT労働者のためのDPRKのより広い使用に関するパフォーマンスダッシュボード報告を反映しています。
2026年1月1日から3月31日の間に、これらのチームは最大1,200万米ドルの価値のある暗号ウォレット公開キーを取り込み、2023年以来100万米ドルを超える合計を受け取った既知のDPRK制御イーサリアムアドレスに少なくとも13の被害者ウォレットからの確認されたフローがあります。
当面のところ、HexagonalRodentのAI支援Lazarusトレードクラフトは、比較的単純で騒々しいマルウェアが産業化され、自動化され、説得力のあるソーシャルエンジニアリングと組み合わされている場合、依然としてWeb3エコシステムに大きな財務的害をもたらすことができることを示しています。
