バイビット、AI「Claude Code」用いた仮想通貨盗難手口を摘発

暗号資産(仮想通貨)取引所大手のバイビットは21日、AIツールを検索するユーザーを狙ったmacOS向けのマルウェアキャンペーンを摘発した。
検索結果を悪用した巧妙な手口
同社のセキュリティオペレーションセンターは、2026年3月に初めて確認された複雑なマルウェア攻撃の詳細を公開。この攻撃は、検索エンジン最適化(SEO)の仕組みを悪用している。
Anthropic社のAI開発ツール「Claude Code」に関連する検索結果で、悪意のあるサイトを上位に表示させていた。
正規のツールを探しているユーザーは、公式の文書に酷似した偽のインストールページに誘導される。そこから複数段階にわたる攻撃が引き起こされる仕組みだ。
攻撃者は、AIツールの普及と開発者の検索行動を巧みに利用している。従来のセキュリティ対策をすり抜け、一見すると正規の検索結果のように見せかけていた。
このマルウェアは、大きく2つの段階に分けて動作する。初期段階では、既知のマルウェアに似た情報窃取ツールが展開される。
次の段階では、システムの奥深くに潜伏し、外部から遠隔操作を行うためのバックドアが仕掛けられる。その結果、攻撃者は長期間にわたってシステムへのアクセスを維持することが可能になる。
仮想通貨ウォレットを狙う脅威
この攻撃の主な標的は、コードへのアクセス権や資金を持つ開発者だ。マルウェアは複雑な手順を踏んで、ブラウザの認証情報やシステムのパスワード、通信アプリの履歴などを盗み出す。
さらに、250種類以上のブラウザ拡張機能型仮想通貨ウォレットが標的となっていることが確認された。
攻撃者は、正規のデスクトップウォレットを悪意のあるバージョンに置き換えようと試みていた。標的となったのはLedger LiveやTrezor Suiteなどだ。
また、偽のパスワード入力画面を表示してユーザーを騙し、システムのパスワードを入力させるという手口も使われている。
この操作を通じて、保存された機密情報が外部に送信されてしまう。
バイビットは今回の調査において、AIを活用した分析を導入した。その結果、通常は数時間かかる分析作業を約40分に短縮し、効率を大幅に向上させている。
同社は悪意のあるインフラを特定した当日に分析と対策を完了させ、ユーザーを守るための詳細なガイドラインを公開した。