Tổ chức hacker Triều Tiên "HexagonalRodent" sử dụng AI để tấn công công nghiệp các nhà phát triển Web3, trộm hơn 12 triệu USD tài sản mã hóa trong ba tháng

Deep潮 TechFlow tin tức, ngày 24 tháng 4, theo báo cáo nghiên cứu của công ty an ninh mạng Expel, họ đang theo dõi một tổ chức APT được đánh giá cao là do nhà nước Bắc Triều Tiên (DPRK) hỗ trợ mang tên “HexagonalRodent”, tổ chức này chủ yếu nhắm vào các nhà phát triển Web3, chuyên trộm cắp tiền điện tử và NFT cùng các tài sản kỹ thuật số có giá trị cao. Trong ba tháng đầu năm 2026, tổ chức này đã lấy cắp quyền truy cập của 26.584 ví tiền điện tử từ 2.726 thiết bị của các nhà phát triển bị nhiễm, tổng giá trị tài sản lên tới 12 triệu USD.

Tổ chức này chủ yếu thực hiện các cuộc tấn công bằng cách giả mạo thông tin tuyển dụng — đăng các vị trí lương cao trên LinkedIn và các nền tảng tuyển dụng Web3, dụ dỗ người tìm việc hoàn thành “bài kiểm tra kỹ năng” chứa mã độc tích hợp, sử dụng chức năng tasks.json của VSCode để tự động thực thi phần mềm độc hại khi người dùng mở thư mục dự án. Các phần mềm độc hại được sử dụng bao gồm BeaverTail, OtterCookie và InvisibleFerret, có khả năng lấy cắp mật khẩu, điều khiển từ xa và phản hồi Shell.

Điều đáng chú ý là tổ chức này đã tận dụng mạnh mẽ các công cụ AI tạo sinh như ChatGPT, Cursor để phát triển phần mềm độc hại, xây dựng các trang web công ty giả mạo và đội ngũ quản lý do AI tạo ra, thậm chí đăng ký các công ty vỏ bọc tại Mexico để nâng cao độ tin cậy của các cuộc tấn công. Ngoài ra, tổ chức này gần đây lần đầu tiên thực hiện tấn công chuỗi cung ứng, thành công xâm nhập vào tiện ích mở rộng VSCode “fast-draft” để phân phối phần mềm độc hại.