Cơ quan bảo mật SlowMist phát hành cảnh báo khẩn cấp. Tổ chức Lazarus của Triều Tiên đang nhắm vào các nhà phát triển Web3 thông qua các thủ đoạn kỹ thuật xã hội như vị trí từ xa lương cao. Kẻ tấn công dụ dỗ nhà phát triển thực thi mã đánh giá kỹ năng, trong đó có mã hậu môn phần mềm độc hại, cuối cùng đánh cắp tài sản mã hóa. Theo báo cáo điều tra của Expel, trong ba tháng đầu năm 2026, số tiền thiệt hại lên tới 1,200 triệu USD.
Phương thức tấn công: mã đánh giá kỹ năng là điểm xâm nhập chính
Kẻ tấn công trước hết liên hệ mục tiêu qua LinkedIn hoặc các nền tảng tuyển dụng, hoặc tạo các trang web công ty giả để đăng tin tuyển dụng. Chúng khiến nhà phát triển chạy mã độc với lý do “đánh giá kỹ năng làm việc tại nhà”. Mã đánh giá bao gồm hai con đường lây nhiễm:
Tấn công VSCode tasks.json: chèn mã độc vào tệp tasks.json có chỉ thị runOn: folderOpen, khiến nhà phát triển chỉ cần mở thư mục chứa mã trong VSCode là phần mềm độc hại tự động thực thi.
Hậu môn cài sẵn trong mã: bản thân mã đánh giá nhúng hậu môn, kích hoạt lây nhiễm khi mã được thực thi, cung cấp một điểm vào dự phòng cho các nhà phát triển không sử dụng VSCode.
Các phần mềm độc hại được sử dụng bao gồm: BeaverTail (công cụ đánh cắp dữ liệu đa năng trên NodeJS), OtterCookie (shell ngược trên NodeJS) và InvisibleFerret (shell ngược trên Python).
Tấn công chuỗi cung ứng lần đầu: phần mở rộng fast-draft VSX bị xâm nhập
Vào ngày 18 tháng 3 năm 2026, HexagonalRodent tiến hành tấn công chuỗi cung ứng vào tiện ích mở rộng VSCode “fast-draft”, phát tán OtterCookie độc hại thông qua tiện ích bị xâm hại. SlowMist xác nhận rằng vào ngày 9 tháng 3 năm 2026, một người dùng có cùng tên với nhà phát triển tiện ích fast-draft đã bị nhiễm OtterCookie.
Nếu nghi ngờ hệ thống đã bị nhiễm, có thể dùng các lệnh sau để kiểm tra xem có đang kết nối tới các máy chủ C2 đã biết hay không (195.201.104[.]53): MacOS/Linux:netstat -an | grep 195.201.104.53 Windows:netstat -an | findstr 195.201.104.53
Lạm dụng công cụ AI: ChatGPT và Cursor đã bị xác nhận bị sử dụng cho mục đích độc hại
HexagonalRodent sử dụng rất nhiều ChatGPT và Cursor để hỗ trợ tấn công, bao gồm tạo mã độc và xây dựng các trang web giả mạo công ty. Dấu hiệu quan trọng để nhận diện mã độc do AI tạo ra là việc sử dụng rất nhiều biểu tượng cảm xúc trong mã (điều này cực kỳ hiếm trong mã viết tay).
Cursor đã chặn các tài khoản và IP liên quan trong vòng một ngày làm việc; OpenAI xác nhận phát hiện việc sử dụng ChatGPT ở mức độ giới hạn, cho biết sự hỗ trợ mà các tài khoản này tìm kiếm thuộc kịch bản lạm dụng hai mặt của các ca sử dụng hợp pháp về an ninh, không phát hiện hoạt động phát triển phần mềm độc hại liên tục. Đã xác nhận ít nhất 13 dòng tiền từ các ví bị nhiễm đã chảy tới các địa chỉ Ethereum của Triều Tiên đã biết, với số tiền nhận được vượt quá 1,100 triệu USD.
Câu hỏi thường gặp
Nhà phát triển Web3 có thể tự bảo vệ mình khỏi các kiểu tấn công như vậy như thế nào?
Các biện pháp phòng vệ cốt lõi bao gồm: (1) duy trì mức độ cảnh giác cao với các nhà tuyển dụng lạ, đặc biệt là những cơ hội yêu cầu hoàn thành đánh giá mã tại nhà; (2) mở các kho mã không quen trong môi trường sandbox thay vì trên hệ thống chính; (3) kiểm tra định kỳ tệp tasks.json của VSCode để đảm bảo không có tác vụ runOn: folderOpen nào chưa được ủy quyền; (4) sử dụng khóa bảo mật phần cứng để bảo vệ ví mã hóa.
Làm thế nào để xác nhận hệ thống của mình có bị nhiễm hay không?
Chạy lệnh tự kiểm tra nhanh: người dùng MacOS/Linux chạy netstat -an | grep 195.201.104.53, người dùng Windows chạy netstat -an | findstr 195.201.104.53. Nếu phát hiện kết nối liên tục với máy chủ C2 đã biết, hãy ngắt mạng ngay lập tức và tiến hành quét toàn diện phần mềm độc hại.
Vì sao HexagonalRodent chọn NodeJS và Python làm ngôn ngữ của phần mềm độc hại?
Các nhà phát triển Web3 thường đã cài sẵn NodeJS và Python trên hệ thống, vì vậy các tiến trình độc hại có thể hòa vào hoạt động phát triển bình thường của nhà phát triển mà không kích hoạt cảnh báo. Hai ngôn ngữ này không phải là đối tượng giám sát chính của các hệ thống chống phần mềm độc hại truyền thống; cộng thêm việc sử dụng các công cụ làm rối mã nguồn thương mại, khiến việc phát hiện chữ ký (signature) cực kỳ khó khăn.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Sàn giao dịch Zondacrypto vướng cáo buộc biển thủ 350 triệu USD, CEO công khai phủ nhận
Một trong những sàn giao dịch tiền mã hóa lớn nhất tại Ba Lan, CEO của Zondacrypto là Przemysław Kral đã công khai tuyên bố trên mạng xã hội vào ngày 16 tháng 4 rằng sàn này không thể truy cập một ví chứa 4,503 Bitcoin, hiện có giá trị hơn 350 triệu USD. Ông Kral đã công bố địa chỉ ví liên quan để bác bỏ cáo buộc biển thủ, nhưng ngay sau sự tiết lộ này, đã xảy ra tình trạng rút tiền hàng loạt.
MarketWhisper1giờ trước
Bitwarden CLI bị lộ gói npm độc hại, ví tiền mã hóa đối mặt với rủi ro bị đánh cắp
Mục tiêu: “Slow Fog” Giám đốc an ninh thông tin cấp cao 23pds chuyển tiếp cảnh báo của nhóm bảo mật Bitwarden. Phiên bản Bitwarden CLI 2026.4.0 đã từng, trong khoảng 1,5 giờ từ 5:57 đến 7:30 chiều theo giờ miền Đông nước Mỹ ngày 22 tháng 4, bị phát hiện là đã bị can thiệp, dẫn đến việc các phiên bản npm chứa gói tin độc hại được phát tán thông qua npm đã bị thu hồi; Bitwarden chính thức xác nhận rằng dữ liệu kho mật khẩu và các hệ thống sản xuất không bị ảnh hưởng.
MarketWhisper2giờ trước
JPMorgan: Lỗi KelpDAO xóa sổ 20 tỷ DeFi TVL, sức hấp dẫn của tổ chức bị suy giảm
Báo cáo do nhóm nghiên cứu của JPMorgan, do nhà phân tích Nikolaos Panigirtzoglou dẫn dắt, công bố vào ngày 23 tháng 4 cho biết, các lỗ hổng bảo mật dai dẳng và tổng giá trị khóa (TVL) ì ạch đang làm suy yếu sức hấp dẫn của tài chính phi tập trung (DeFi) đối với các nhà đầu tư tổ chức. Báo cáo nhấn mạnh rằng lỗ hổng của KelpDAO đã xóa đi khoảng 200 tỷ USD DeFi TVL trong vài ngày, phơi bày rủi ro mang tính cấu trúc.
MarketWhisper2giờ trước
Đề xuất CoW DAO bồi thường cho các nạn nhân bị chiếm đoạt tên miền cow.fi, bồi hoàn tối đa 100% thiệt hại
CoW DAO vào ngày 23 tháng 4 đã công bố đề xuất bồi thường (CIP) trên diễn đàn quản trị, đề xuất thiết lập một chương trình trợ cấp tùy ý, để cung cấp bồi thường thiệt hại lên tới 100% cho các nạn nhân của sự cố chiếm đoạt tên miền cow.fi diễn ra vào ngày 14 tháng 4. Sự cố ước tính gây ra thiệt hại cho người dùng khoảng 120 vạn đô la USDC, CoW DAO nhấn mạnh rằng việc bồi thường mang tính chất hỗ trợ ưu đãi được phát tự nguyện, không đồng nghĩa với việc thừa nhận bất kỳ trách nhiệm pháp lý nào.
MarketWhisper2giờ trước
CryptoQuant: KelpDAO bị khai thác lỗ hổng, một trong những cuộc khủng hoảng nghiêm trọng nhất kể từ năm 2024, Aave TVL giảm 33%
Theo đánh giá của CryptoQuant vào ngày 23 tháng 4, cuộc tấn công lỗ hổng của KelpDAO xảy ra trong tuần trước đã tạo ra rủi ro nợ xấu tiềm ẩn cho Aave trong vòng 72 giờ từ 124 triệu đến 230 triệu USD, TVL sụt giảm 33%, lãi suất vay đối với USDT và USDC đã tăng vọt từ 3,4% lên 14%, và lãi suất vay ETH đạt mức cao nhất kể từ tháng 1 năm 2024 là 8%.
MarketWhisper2giờ trước
Nhóm APT của Triều Tiên HexagonalRodent đánh cắp $12M tiền mã hóa từ các nhà phát triển Web3 bằng các cuộc tấn công sử dụng AI
Tin tức từ Gate, ngày 24 tháng 4 — Một nhóm APT do Triều Tiên tài trợ, được đặt biệt danh là HexagonalRodent, đã đánh cắp hơn $12 triệu USD tiền mã hóa và NFT từ các nhà phát triển Web3 trong quý đầu tiên của năm 2026, theo công ty an ninh mạng Expel. Nhóm này đã xâm nhập 2,726 thiết bị của nhà phát triển và giành được quyền truy cập vào 26,584 ví tiền mã hóa.
GateNews3giờ trước
