注意喚起：暗号資産ウォレットを狙う新ウイルス検出 原因ソフトと対策解説

サイバーセキュリティ企業SlowMistが、GitHubで公開されたオープンソースプロジェクト「solana-pumpfun-bot」にユーザーウォレットを狙った詐欺スキームが組み込まれていたことを明らかにした。同社によると、このプロジェクトを実行したユーザーのウォレットから暗号資産が盗まれ、一部の資金はFixedFloatというプラットフォームに送金されていた。2025年7月2日、被害を受けたユーザーからSlowMistチームに連絡があり事件が発覚した。被害ユーザーは前日にGitHubの「zldp2002/solana-pumpfun-bot」プロジェクトを使用開始後、ウォレット内の暗号資産が盗まれたと主張している。SlowMistの事後分析によると、このプロジェクトはNode.jsベースで、疑わしいサードパーティパッケージ「crypto-layout-utils」に依存していた。このパッケージはNPMの公式記録に存在せず、プラットフォームから削除済みだ。調査の結果、悪意のある開発者がpackage-lock.jsonファイル内のリンクを操作し、ユーザーにマルウェアをインストールさせるように仕向けていたことが判明した。SlowMist専門家の説明によると、ダウンロードされた「crypto-layout-utils-1.3.1」パッケージには複雑で難読化されたコードが含まれており、分析の結果、これらのコードがユーザーのコンピュータ上にあるウォレットと秘密鍵を含むファイルをスキャンし、「githubshadow.xyz」という攻撃者のサーバーにデータを送信していた。さらに分析によると、当該プロジェクトの開発者とされるGitHubユーザー(zldp2002)は多数の偽アカウントを管理しており、これらのアカウントでプロジェクトをフォークすることでより多くのユーザーにリーチしようとしていた。一部のフォークでは別の悪意あるNPMパッケージ「bs58-encrypt-utils-1.0.3」が使用されていた。事件後、SlowMistはオンチェーン分析ツール「MistTrack」を使用して攻撃者を追跡し、攻撃者が盗んだ暗号資産の一部をFixedFloatプラットフォームに送金していたことを確認した。このマルウェア攻撃は2025年6月12日から活動していたと推定されている。SlowMistは、ユーザーに対してGitHubなどのオープンソースプラットフォームからのソフトウェアダウンロードには細心の注意を払うよう警告しており、特に秘密鍵やウォレット操作に関わるプロジェクトでは、必要時でも機密データを含まない隔離されたマシン上で実行することを推奨している。