北朝鮮のBlueNoroffグループがWeb3の認証情報とデータを狙うSilentSiphonマルウェアを展開

エグゼクティブサマリー

北朝鮮の国家支援型ハッキング集団 BlueNoroff は、様々なアプリケーションおよび Web3 関連サービスから重要なデータと認証情報を侵害するために特別に設計された新しいマルウェア SilentSiphon を展開しました。この高度な脅威は、テクノロジー業界の幹部や Web3 開発者を含む macOS ユーザーを標的とし、デジタル資産のセキュリティに対する懸念を引き起こします。

イベントの詳細

SilentSiphon は、機密情報を収集および流出させるように設計された複数の bash スクリプトからなる窃盗ツールスイートです。このマルウェアは、Apple Notes、Telegram、ウェブブラウザ拡張機能、およびブラウザやパスワードマネージャーに保存されている認証情報からデータを収集することができます。さらに、GitHub、GitLab、Bitbucket、npm、Yarn、Python pip、RubyGems、Rust cargo、.NET Nuget、AWS、Google Cloud、Microsoft Azure、Oracle Cloud、Akamai Linode、DigitalOcean API、Vercel、Cloudflare、Netlify、Stripe、Firebase、Twilio、CircleCI、Pulumi、HashiCorp、SSH、FTP、および Sui Blockchain、Solana、NEAR Blockchain、Aptos Blockchain、Algorand、Docker、Kubernetes、OpenAI などのいくつかの著名なブロックチェーンプラットフォームを含む、幅広いサービスに関連する設定ファイル内の秘密を標的とします。

この活動は、悪名高い Lazarus Group のサブクラスターである BlueNoroff に起因するとされており、APT38、CageyChameleon、CryptoCore、Genie Spider、Nickel Gladstone、Sapphire Sleet（旧 Copernicium）、Stardust Chollima とも呼ばれています。SilentSiphon の展開は、2017年以降活発な包括的な SnatchCrypto 作戦の下で行われる、より大規模なキャンペーン GhostCall および GhostHire の一部です。

GhostCall の被害者は、日本、イタリア、フランス、シンガポール、トルコ、スペイン、スウェーデン、インド、香港の複数の macOS ホストで確認されています。このキャンペーンは、主に Telegram などのプラットフォームを介してテクノロジーおよびベンチャーキャピタル業界の幹部に直接接触し、Zoomに似たフィッシングウェブサイトでの投資関連会議に誘い込むことで標的とします。主に日本とオーストラリアに影響を与える GhostHire キャンペーンは、Web3 開発者に焦点を当てています。攻撃者は Telegram でターゲットに接近し、スキル評価を装って悪意のある GitHub リポジトリをダウンロードおよび実行するように誘い込みます。

マルウェア動作の技術的解体

SilentSiphon は一連の bash スクリプトとして動作します。初期感染後（通常は CosmicDoor を介して）、複数のシェルスクリプトが作成され、攻撃者のコマンド＆コントロール（C2）サーバーへのデータ収集とデータ流出を容易にします。主要なコンポーネントである upl.sh はオーケストレーションランチャーとして機能し、被害者のシステムに特化した様々なスタンドアロンデータ抽出モジュールを集約します。このモジュール化されたアプローチにより、侵害された環境に合わせた包括的なデータ収集が可能となり、単一の脅威ベクトル向けに設計された標準的なセキュリティ対策を効果的に回避します。

市場への影響

SilentSiphon の出現と進行中の BlueNoroff キャンペーンは、Web3 エコシステム 内でのサイバーセキュリティリスクの拡大を浮き彫りにしています。ブロックチェーン関連サービスや開発者ツールが直接標的となることで、ユーザーの信頼が損なわれ、分散型技術のより広範な採用が妨げられる可能性があります。ソーシャルエンジニアリングを利用し、一般的に使用されているプラットフォームを悪用するこれらの攻撃の高度な性質は、デジタル資産に関与する個人ユーザーと機関エンティティの両方からの警戒の必要性の高まりを示唆しています。

Web3 セキュリティのより広範な文脈は、不安定な状況を示しています。2025年第1四半期には、Web3 セクターで 20億ドル を超える損失が記録され、これは2024年第1四半期と比較して96%の増加です。アクセス制御の悪用だけでも、この期間中に 16億ドル を超える損失の原因となりました。スマートコントラクトの悪用は 2900万ドル の損害とより小さな割合を占めましたが、SilentSiphon のようなフィッシングや直接的なデータ窃盗方法の蔓延が、全体的な金融不安に大きく貢献しています。

専門家のコメントとベストプラクティス

セキュリティ専門家は、Web3 スペースにおける堅牢なサイバーセキュリティ対策の重要性を強調しています。個人および組織は、評判の良いウォレット、特に確立されたセキュリティ機能と実績のあるウォレットを採用することが推奨されます。最新のセキュリティパッチが適用されるように、ソフトウェアを定期的に更新することが最も重要です。プライベートキーをハードウェアデバイスまたは安全な紙のバックアップにオフラインで保存するコールドウォレットの使用は、サイバー攻撃のリスクを大幅に軽減するために強く推奨されます。さらに、プライベートキーやシードフレーズを誰とも共有しないという基本的な原則は、デジタル資産セキュリティの基礎であり続けます。高度なセキュリティツールと規律あるユーザー行動を組み合わせたこの積極的なアプローチは、SilentSiphon のような進化する脅威に対抗し、Web3 環境内の資産を保護するために不可欠です。

より広範な背景

BlueNoroff が SnatchCrypto のような作戦を通じて Web3 およびブロックチェーンセクターを継続的に標的としていることは、北朝鮮の国家支援型アクターからの持続的かつ進化する脅威を強調しています。彼らの戦術には、高度なソーシャルエンジニアリングと汎用性の高いマルウェアの開発が含まれており、サイバー窃盗による経済的利益に戦略的に焦点を当てていることを反映しており、多くの場合、デジタル資産スペースの高価値の個人や組織を標的としています。このような攻撃の頻度と高度化の増加は、サイバーセキュリティ防御における継続的なイノベーションと、将来の侵入から保護するための Web3 コミュニティ全体の協力的な努力を必要とします。この傾向は、分散型経済における金融的利害の増大を反映しており、それが資源豊富な国家アクターにとって魅力的な標的となっています。このような脅威に対する業界の対応は、その長期的なセキュリティ態勢と回復力を形成する上で極めて重要となるでしょう。