Cơ quan bảo mật SlowMist phát hành cảnh báo khẩn cấp. Tổ chức Lazarus của Triều Tiên đang nhắm vào các nhà phát triển Web3 thông qua các thủ đoạn kỹ thuật xã hội như vị trí từ xa lương cao. Kẻ tấn công dụ dỗ nhà phát triển thực thi mã đánh giá kỹ năng, trong đó có mã hậu môn phần mềm độc hại, cuối cùng đánh cắp tài sản mã hóa. Theo báo cáo điều tra của Expel, trong ba tháng đầu năm 2026, số tiền thiệt hại lên tới 1,200 triệu USD.
Phương thức tấn công: mã đánh giá kỹ năng là điểm xâm nhập chính
Kẻ tấn công trước hết liên hệ mục tiêu qua LinkedIn hoặc các nền tảng tuyển dụng, hoặc tạo các trang web công ty giả để đăng tin tuyển dụng. Chúng khiến nhà phát triển chạy mã độc với lý do “đánh giá kỹ năng làm việc tại nhà”. Mã đánh giá bao gồm hai con đường lây nhiễm:
Tấn công VSCode tasks.json: chèn mã độc vào tệp tasks.json có chỉ thị runOn: folderOpen, khiến nhà phát triển chỉ cần mở thư mục chứa mã trong VSCode là phần mềm độc hại tự động thực thi.
Hậu môn cài sẵn trong mã: bản thân mã đánh giá nhúng hậu môn, kích hoạt lây nhiễm khi mã được thực thi, cung cấp một điểm vào dự phòng cho các nhà phát triển không sử dụng VSCode.
Các phần mềm độc hại được sử dụng bao gồm: BeaverTail (công cụ đánh cắp dữ liệu đa năng trên NodeJS), OtterCookie (shell ngược trên NodeJS) và InvisibleFerret (shell ngược trên Python).
Tấn công chuỗi cung ứng lần đầu: phần mở rộng fast-draft VSX bị xâm nhập
Vào ngày 18 tháng 3 năm 2026, HexagonalRodent tiến hành tấn công chuỗi cung ứng vào tiện ích mở rộng VSCode “fast-draft”, phát tán OtterCookie độc hại thông qua tiện ích bị xâm hại. SlowMist xác nhận rằng vào ngày 9 tháng 3 năm 2026, một người dùng có cùng tên với nhà phát triển tiện ích fast-draft đã bị nhiễm OtterCookie.
Nếu nghi ngờ hệ thống đã bị nhiễm, có thể dùng các lệnh sau để kiểm tra xem có đang kết nối tới các máy chủ C2 đã biết hay không (195.201.104[.]53): MacOS/Linux:netstat -an | grep 195.201.104.53 Windows:netstat -an | findstr 195.201.104.53
Lạm dụng công cụ AI: ChatGPT và Cursor đã bị xác nhận bị sử dụng cho mục đích độc hại
HexagonalRodent sử dụng rất nhiều ChatGPT và Cursor để hỗ trợ tấn công, bao gồm tạo mã độc và xây dựng các trang web giả mạo công ty. Dấu hiệu quan trọng để nhận diện mã độc do AI tạo ra là việc sử dụng rất nhiều biểu tượng cảm xúc trong mã (điều này cực kỳ hiếm trong mã viết tay).
Cursor đã chặn các tài khoản và IP liên quan trong vòng một ngày làm việc; OpenAI xác nhận phát hiện việc sử dụng ChatGPT ở mức độ giới hạn, cho biết sự hỗ trợ mà các tài khoản này tìm kiếm thuộc kịch bản lạm dụng hai mặt của các ca sử dụng hợp pháp về an ninh, không phát hiện hoạt động phát triển phần mềm độc hại liên tục. Đã xác nhận ít nhất 13 dòng tiền từ các ví bị nhiễm đã chảy tới các địa chỉ Ethereum của Triều Tiên đã biết, với số tiền nhận được vượt quá 1,100 triệu USD.
Câu hỏi thường gặp
Nhà phát triển Web3 có thể tự bảo vệ mình khỏi các kiểu tấn công như vậy như thế nào?
Các biện pháp phòng vệ cốt lõi bao gồm: (1) duy trì mức độ cảnh giác cao với các nhà tuyển dụng lạ, đặc biệt là những cơ hội yêu cầu hoàn thành đánh giá mã tại nhà; (2) mở các kho mã không quen trong môi trường sandbox thay vì trên hệ thống chính; (3) kiểm tra định kỳ tệp tasks.json của VSCode để đảm bảo không có tác vụ runOn: folderOpen nào chưa được ủy quyền; (4) sử dụng khóa bảo mật phần cứng để bảo vệ ví mã hóa.
Làm thế nào để xác nhận hệ thống của mình có bị nhiễm hay không?
Chạy lệnh tự kiểm tra nhanh: người dùng MacOS/Linux chạy netstat -an | grep 195.201.104.53, người dùng Windows chạy netstat -an | findstr 195.201.104.53. Nếu phát hiện kết nối liên tục với máy chủ C2 đã biết, hãy ngắt mạng ngay lập tức và tiến hành quét toàn diện phần mềm độc hại.
Vì sao HexagonalRodent chọn NodeJS và Python làm ngôn ngữ của phần mềm độc hại?
Các nhà phát triển Web3 thường đã cài sẵn NodeJS và Python trên hệ thống, vì vậy các tiến trình độc hại có thể hòa vào hoạt động phát triển bình thường của nhà phát triển mà không kích hoạt cảnh báo. Hai ngôn ngữ này không phải là đối tượng giám sát chính của các hệ thống chống phần mềm độc hại truyền thống; cộng thêm việc sử dụng các công cụ làm rối mã nguồn thương mại, khiến việc phát hiện chữ ký (signature) cực kỳ khó khăn.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Lido Đề Xuất Phân Bổ 2.500 ETH Đã Đặt Cọc Để Bù Khoảng Trống Vụ Khai Thác Kelp
Tin tức Cổng, ngày 24 tháng 4 — Lido Labs đang tìm kiếm sự phê duyệt của DAO để phân bổ tối đa 2.500 Ethereum đã đặt cọc (khoảng 5,8 triệu USD) nhằm giảm thâm hụt rsETH do vụ khai thác Kelp gần đây gây ra, theo một đề xuất được đăng vào hôm thứ Năm. Cầu nối rsETH của Kelp DAO đã chịu một cuộc tấn công dựa trên LayerZero vào tuần trước, trong đó dẫn đến khoảng triệu USD tiền lỗ và tạo ra các khoản thiếu hụt tài trợ đáng kể trên các nền tảng DeFi.
GateNews52phút trước
Slow Mist Cảnh báo về MioLab, Nền tảng Malware-as-a-Service nhắm vào tài sản Crypto và ví phần cứng trên macOS
Tin tức từ Gate, ngày 24 tháng 4 — Giám đốc Thông tin An ninh của Slow Mist, 23pds, đã tiết lộ trên X rằng MioLab là một nền tảng mã độc dưới dạng dịch vụ (malware-as-a-service) cho macOS được thương mại hóa cao (MaaS), đang được tích cực quảng bá trên các diễn đàn ngầm Nga, cung cấp khả năng điều khiển C2, tích hợp API và các năng lực tấn công được tùy chỉnh
GateNews1giờ trước
Quan tài bị bắt: sĩ quan trưởng lực lượng đặc biệt quân đội Mỹ bị bắt vì sử dụng thông tin mật để đặt cược trên Polymarket rằng Maduro bị bắt, thu lợi 400.000 USD
Bộ Tư pháp Mỹ ở Khu Nam của New York đã truy tố viên sĩ quan chỉ huy của lực lượng đặc nhiệm Mỹ, Gannon Ken Van Dyke, với cáo buộc rằng y đã sử dụng thông tin mật để đặt cược trên Polymarket về kết quả Maduro bị bắt, thu lợi khoảng 409,881 USD (13 giao dịch, từ 2025-12-27 đến 2026-1-26). Các cáo buộc bao gồm việc sử dụng trái phép thông tin mật, đánh cắp thông tin không công khai, gian lận giao dịch hàng hóa, lừa đảo chuyển khoản và giao dịch tiền trái phép, v.v.; đây là vụ truy tố liên bang đầu tiên lấy nội gián và giao dịch chênh lệch dựa trên thị trường dự đoán làm trọng tâm, hoặc có thể ảnh hưởng đến hướng đi quản lý trong tương lai.
ChainNewsAbmedia2giờ trước
Cảnh sát Tây Ban Nha thu giữ €400K tiền mã hóa từ nền tảng vi phạm bản quyền manga, 3 người bị bắt
Tin tức từ Gate News, ngày 24 tháng 4 — Cảnh sát Tây Ban Nha tại Almería đã tịch thu hai ví lạnh tiền mã hóa chứa khoảng €400.000 trong một cuộc đột kích vào nền tảng phân phối manga bất hợp pháp lớn nhất của nước này. Ba người đã bị bắt liên quan đến chiến dịch, được khởi động
GateNews3giờ trước
Mỹ áp lệnh trừng phạt Thượng nghị sĩ Campuchia vì tội lừa đảo tiền mã hóa, với các khoản bị xử lý gia tăng
## Hành động phối hợp của Hoa Kỳ chống các mạng lưới lừa đảo ở Đông Nam Á
Cơ quan Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Hoa Kỳ (OFAC) đã áp đặt lệnh trừng phạt đối với thượng nghị sĩ Campuchia Kok An, bị cáo buộc điều hành “các khu lừa đảo” nhằm lừa đảo người Mỹ bằng cách hứa hẹn lợi nhuận cao từ tiền mã hóa, theo tuyên bố của OFAC về
CryptoFrontier4giờ trước
