Cơ quan bảo mật SlowMist phát hành cảnh báo khẩn cấp. Tổ chức Lazarus của Triều Tiên đang nhắm vào các nhà phát triển Web3 thông qua các thủ đoạn kỹ thuật xã hội như vị trí từ xa lương cao. Kẻ tấn công dụ dỗ nhà phát triển thực thi mã đánh giá kỹ năng, trong đó có mã hậu môn phần mềm độc hại, cuối cùng đánh cắp tài sản mã hóa. Theo báo cáo điều tra của Expel, trong ba tháng đầu năm 2026, số tiền thiệt hại lên tới 1,200 triệu USD.
Phương thức tấn công: mã đánh giá kỹ năng là điểm xâm nhập chính
Kẻ tấn công trước hết liên hệ mục tiêu qua LinkedIn hoặc các nền tảng tuyển dụng, hoặc tạo các trang web công ty giả để đăng tin tuyển dụng. Chúng khiến nhà phát triển chạy mã độc với lý do “đánh giá kỹ năng làm việc tại nhà”. Mã đánh giá bao gồm hai con đường lây nhiễm:
Tấn công VSCode tasks.json: chèn mã độc vào tệp tasks.json có chỉ thị runOn: folderOpen, khiến nhà phát triển chỉ cần mở thư mục chứa mã trong VSCode là phần mềm độc hại tự động thực thi.
Hậu môn cài sẵn trong mã: bản thân mã đánh giá nhúng hậu môn, kích hoạt lây nhiễm khi mã được thực thi, cung cấp một điểm vào dự phòng cho các nhà phát triển không sử dụng VSCode.
Các phần mềm độc hại được sử dụng bao gồm: BeaverTail (công cụ đánh cắp dữ liệu đa năng trên NodeJS), OtterCookie (shell ngược trên NodeJS) và InvisibleFerret (shell ngược trên Python).
Tấn công chuỗi cung ứng lần đầu: phần mở rộng fast-draft VSX bị xâm nhập
Vào ngày 18 tháng 3 năm 2026, HexagonalRodent tiến hành tấn công chuỗi cung ứng vào tiện ích mở rộng VSCode “fast-draft”, phát tán OtterCookie độc hại thông qua tiện ích bị xâm hại. SlowMist xác nhận rằng vào ngày 9 tháng 3 năm 2026, một người dùng có cùng tên với nhà phát triển tiện ích fast-draft đã bị nhiễm OtterCookie.
Nếu nghi ngờ hệ thống đã bị nhiễm, có thể dùng các lệnh sau để kiểm tra xem có đang kết nối tới các máy chủ C2 đã biết hay không (195.201.104[.]53): MacOS/Linux:netstat -an | grep 195.201.104.53 Windows:netstat -an | findstr 195.201.104.53
Lạm dụng công cụ AI: ChatGPT và Cursor đã bị xác nhận bị sử dụng cho mục đích độc hại
HexagonalRodent sử dụng rất nhiều ChatGPT và Cursor để hỗ trợ tấn công, bao gồm tạo mã độc và xây dựng các trang web giả mạo công ty. Dấu hiệu quan trọng để nhận diện mã độc do AI tạo ra là việc sử dụng rất nhiều biểu tượng cảm xúc trong mã (điều này cực kỳ hiếm trong mã viết tay).
Cursor đã chặn các tài khoản và IP liên quan trong vòng một ngày làm việc; OpenAI xác nhận phát hiện việc sử dụng ChatGPT ở mức độ giới hạn, cho biết sự hỗ trợ mà các tài khoản này tìm kiếm thuộc kịch bản lạm dụng hai mặt của các ca sử dụng hợp pháp về an ninh, không phát hiện hoạt động phát triển phần mềm độc hại liên tục. Đã xác nhận ít nhất 13 dòng tiền từ các ví bị nhiễm đã chảy tới các địa chỉ Ethereum của Triều Tiên đã biết, với số tiền nhận được vượt quá 1,100 triệu USD.
Câu hỏi thường gặp
Nhà phát triển Web3 có thể tự bảo vệ mình khỏi các kiểu tấn công như vậy như thế nào?
Các biện pháp phòng vệ cốt lõi bao gồm: (1) duy trì mức độ cảnh giác cao với các nhà tuyển dụng lạ, đặc biệt là những cơ hội yêu cầu hoàn thành đánh giá mã tại nhà; (2) mở các kho mã không quen trong môi trường sandbox thay vì trên hệ thống chính; (3) kiểm tra định kỳ tệp tasks.json của VSCode để đảm bảo không có tác vụ runOn: folderOpen nào chưa được ủy quyền; (4) sử dụng khóa bảo mật phần cứng để bảo vệ ví mã hóa.
Làm thế nào để xác nhận hệ thống của mình có bị nhiễm hay không?
Chạy lệnh tự kiểm tra nhanh: người dùng MacOS/Linux chạy netstat -an | grep 195.201.104.53, người dùng Windows chạy netstat -an | findstr 195.201.104.53. Nếu phát hiện kết nối liên tục với máy chủ C2 đã biết, hãy ngắt mạng ngay lập tức và tiến hành quét toàn diện phần mềm độc hại.
Vì sao HexagonalRodent chọn NodeJS và Python làm ngôn ngữ của phần mềm độc hại?
Các nhà phát triển Web3 thường đã cài sẵn NodeJS và Python trên hệ thống, vì vậy các tiến trình độc hại có thể hòa vào hoạt động phát triển bình thường của nhà phát triển mà không kích hoạt cảnh báo. Hai ngôn ngữ này không phải là đối tượng giám sát chính của các hệ thống chống phần mềm độc hại truyền thống; cộng thêm việc sử dụng các công cụ làm rối mã nguồn thương mại, khiến việc phát hiện chữ ký (signature) cực kỳ khó khăn.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Litecoin Trải Qua Tái Tổ Chức Chuỗi Sâu để Loại Bỏ Việc Bị Khai Thác Lớp Bảo Mật MWEB
Tin tức Gate, ngày 26 tháng 4 — Litecoin đã trải qua một đợt tái tổ chức chuỗi sâu (reorg) vào thứ Bảy sau khi kẻ tấn công khai thác một lỗ hổng zero-day trong lớp bảo mật quyền riêng tư của Khối Tiện ích Mở rộng MimbleWimble (MWEB), theo
GateNews24phút trước
Apecoin Insider Biến $174K Thành 2,45 triệu USD trong 1 ngày với giao dịch 14x ở cả hai phía của đợt tăng 80%
Một ví ẩn danh không có lịch sử giao dịch trước đó đã biến 174.000 USD trị giá ether thành 2,45 triệu USD bằng cách giao dịch Apecoin ở cả hai phía của một đợt tăng giá 80% trong vòng một ngày.
Các ý chính:
Ví 0x0b8a đã chuyển 174.000 USD ETH thành một lệnh long Apecoin có đòn bẩy, thoát gần mức đỉnh để thu về 1,79M
Coinpedia56phút trước
Cảnh sát Hồng Kông triệt phá đường dây lừa đảo xuyên biên giới nhắm vào sinh viên ở nước ngoài, thu giữ tài sản trị giá HK$5M
Tin tức Cổng, ngày 26 tháng 4 — Cảnh sát Hồng Kông đã triệt phá một đường dây lừa đảo xuyên biên giới nhắm vào các sinh viên người Hoa ở nước ngoài đang du học, theo truyền thông địa phương. Tổ chức này mạo danh các quan chức thực thi pháp luật và ép nạn nhân đến Hồng Kông để mua các thỏi vàng với tư cách là "c
GateNews1giờ trước
Litecoin Reorg Hoàn Tác Khai Thác Lớp Riêng Tư MWEB
Litecoin đã trải qua một đợt tái tổ chức chuỗi sâu (deep chain reorganization) vào Thứ Bảy sau khi các kẻ tấn công khai thác một lỗ hổng zero-day trong lớp quyền riêng tư MimbleWimble Extension Block (MWEB), theo Quỹ Litecoin (Litecoin Foundation). Sự cố đã dẫn đến một đợt reorg kéo dài ba giờ đã xóa các giao dịch không hợp lệ khỏi chuỗi
CryptoFrontier6giờ trước
Lừa đảo trại máy tính Laptop Farm của các nhà phát triển IT Triều Tiên: Đồng phạm tại Mỹ bị tuyên 7-9 năm, trong hai năm thu về tổng cộng 2,8 tỷ USD
Fortune đưa tin Triều Tiên thông qua các trang trại máy tính xách tay trong lãnh thổ Mỹ, trong hai năm tích lũy khoảng 2,8 tỷ USD doanh thu để hỗ trợ vũ khí hạt nhân; khoản cống năm là 250–600 triệu USD. Hai bị cáo người Mỹ Kejia Wang và Zhenxing Wang lần lượt bị tuyên án 7,5 năm và 9 năm, liên quan đến hơn 100 công ty và 80 người bị giả mạo danh tính. Triều Tiên vận hành tại Mỹ thông qua danh tính Mỹ và các thiết bị cố định, trong đó phần lớn tiền được chuyển đổi qua kết hối bằng tiền mã hóa. Các chuyên gia cảnh báo rằng mạng lưới đồng phạm trong nước vẫn còn tồn tại; các doanh nghiệp cần tăng cường xác thực danh tính, theo dõi địa chỉ và phân tích múi giờ/IP.
ChainNewsAbmedia10giờ trước
Cảnh sát Hồng Kông cảnh báo làn sóng lừa đảo tiền mã hóa gia tăng; Hai phụ nữ mất 1,24 triệu USD trong những tuần gần đây
Tin tức Gate, ngày 25 tháng 4 — Hai phụ nữ ở Hồng Kông đã mất tổng cộng 9,7 triệu HK$ (US$1,24 triệu) cho các kẻ lừa đảo tiền mã hóa trong những tuần gần đây, khiến cảnh sát địa phương đưa ra cảnh báo công khai. Cảnh sát Hồng Kông cho biết có hơn 80 vụ lừa đảo trong chỉ một tuần, với tổng thiệt hại vượt quá HK$80 triệu (U
GateNews10giờ trước
