Kasperskyは水曜のレポートで、暗号資産投資家を狙う新たなマルウェアのフレームワークを発見した。OkoBotと名付けられたこのマルウェアは、ClickFixのようなソーシャルエンジニアリング手法によって感染チェーンを開始し、ユーザーに悪意のあるコマンドの実行をだまし取ったり、感染した端末にバックドアを届けるトロイ化したGitHubアプリを使ったりする。Kasperskyは、2026年1月以降、このマルウェアファミリーに関連する複数の攻撃を確認した。このマルウェアは、暗号資産ウォレットのファイル、ブラウザデータ、ユーザーの認証情報を収集し、悪意のある拡張機能を注入し、ウォレットアプリのウィンドウをキャプチャして資産を盗み出す。マルウェアのフレームワークは、2025年に初めて特定されたマルウェアキャンペーンTookPSから発展した。TookPSは、偽のソフトウェアWebサイトを通じてトロイの木馬型のダウンローダーを配布していた。
OkoBotフレームワークはSSHトンネルのアーキテクチャで動作する
OkoBotは、SSHトンネルを介して20個すべての悪意あるペイロードをオーケストレーションすることで、これまでのキャンペーンと異なる。この仕組みにより、感染したコンピュータから、攻撃者が制御するリモートのマシンへデータを遠隔で転送できる。Kasperskyはさらに、このフレームワークがコピキャット攻撃への道を開くと付け加えた。
![Original OkoBot infection chain. Source: Kaspersky]()
偽のLinkedInキャンペーンが悪意のあるGitHubリポジトリを通じてWeb3開発者を狙う
SlowMistによると、別のマルウェアキャンペーンは、偽のLinkedInの募集機会を通じてWeb3開発者の端末に侵入しようとしている。攻撃者は、土曜のレポートでSlowMistが述べたところによれば、Web3リクルーターを装ってLinkedIn経由でブロックチェーン開発者に接触する。次に、被害者に対して偽のGitHubリポジトリを送付し、面接前に試す必要がある最小実用製品(MVP)が含まれていると主張する。
このワークフローは、開発者がコードを取り込み、依存関係をインストールし、プロジェクトを起動する正当な技術面接に非常によく似ているため、攻撃に気づきにくいとSlowMistは指摘している。このマルウェアは、開発者の端末に感染して完全なリモートアクセス型トロイの木馬を届け、攻撃者がこれらの開発者からプロジェクトのキー、クラウドの認証情報、またはウォレット拡張機能のデータを盗み取れるようにすることを狙っている。
SlowMistは、この攻撃は単発の事例ではないとしており、最近の出来事は、攻撃者が採用、コードレビュー、プロジェクトの共同作業といった状況をますます活用して、開発者に悪意のあるリポジトリを積極的に実行させようとしていることを示していると書いた。このレポートは、SlowMistが別のマルウェアキャンペーンとして、macOSユーザーを狙い、認証情報を盗み、Telegramのセッションを乗っ取って、最終的に偽のWebサイトを通じて投資家にウォレットのリカバリーフレーズを入力させようとしていると警告した翌日に出された。
FAQ
OkoBotマルウェアとは何で、いつ発見されたのか?
OkoBotは、Kasperskyが水曜のレポートで発見した暗号資産投資家を狙うマルウェアのフレームワークである。Kasperskyは、2026年1月以降、このマルウェアファミリーに関連する複数の攻撃を確認した。マルウェアはClickFixのようなソーシャルエンジニアリング手法、またはトロイ化したGitHubアプリを通じて感染を開始でき、暗号資産ウォレットのファイル、ブラウザデータ、ユーザーの認証情報を収集し、悪意のある拡張機能を注入し、ウォレットアプリのウィンドウをキャプチャする。
偽のLinkedInの募集キャンペーンはWeb3開発者をどのように狙うのか?
攻撃者は、SlowMistの土曜レポートによれば、Web3リクルーターを装ってLinkedIn経由でブロックチェーン開発者に接触する。被害者には、面接の前に試す必要がある最小実用製品(MVP)が含まれていると主張する偽のGitHubリポジトリを送る。ワークフローは、開発者がコードを取り込み、依存関係をインストールし、プロジェクトを起動する正当な技術面接に似ているため、攻撃に気づきにくい。このマルウェアは、プロジェクトのキー、クラウドの認証情報、またはウォレット拡張機能のデータを盗むリモートアクセス型トロイの木馬を届ける。