Cơ quan bảo mật SlowMist phát hành cảnh báo khẩn cấp. Tổ chức Lazarus của Triều Tiên đang nhắm vào các nhà phát triển Web3 thông qua các thủ đoạn kỹ thuật xã hội như vị trí từ xa lương cao. Kẻ tấn công dụ dỗ nhà phát triển thực thi mã đánh giá kỹ năng, trong đó có mã hậu môn phần mềm độc hại, cuối cùng đánh cắp tài sản mã hóa. Theo báo cáo điều tra của Expel, trong ba tháng đầu năm 2026, số tiền thiệt hại lên tới 1,200 triệu USD.
Phương thức tấn công: mã đánh giá kỹ năng là điểm xâm nhập chính
Kẻ tấn công trước hết liên hệ mục tiêu qua LinkedIn hoặc các nền tảng tuyển dụng, hoặc tạo các trang web công ty giả để đăng tin tuyển dụng. Chúng khiến nhà phát triển chạy mã độc với lý do “đánh giá kỹ năng làm việc tại nhà”. Mã đánh giá bao gồm hai con đường lây nhiễm:
Tấn công VSCode tasks.json: chèn mã độc vào tệp tasks.json có chỉ thị runOn: folderOpen, khiến nhà phát triển chỉ cần mở thư mục chứa mã trong VSCode là phần mềm độc hại tự động thực thi.
Hậu môn cài sẵn trong mã: bản thân mã đánh giá nhúng hậu môn, kích hoạt lây nhiễm khi mã được thực thi, cung cấp một điểm vào dự phòng cho các nhà phát triển không sử dụng VSCode.
Các phần mềm độc hại được sử dụng bao gồm: BeaverTail (công cụ đánh cắp dữ liệu đa năng trên NodeJS), OtterCookie (shell ngược trên NodeJS) và InvisibleFerret (shell ngược trên Python).
Tấn công chuỗi cung ứng lần đầu: phần mở rộng fast-draft VSX bị xâm nhập
Vào ngày 18 tháng 3 năm 2026, HexagonalRodent tiến hành tấn công chuỗi cung ứng vào tiện ích mở rộng VSCode “fast-draft”, phát tán OtterCookie độc hại thông qua tiện ích bị xâm hại. SlowMist xác nhận rằng vào ngày 9 tháng 3 năm 2026, một người dùng có cùng tên với nhà phát triển tiện ích fast-draft đã bị nhiễm OtterCookie.
Nếu nghi ngờ hệ thống đã bị nhiễm, có thể dùng các lệnh sau để kiểm tra xem có đang kết nối tới các máy chủ C2 đã biết hay không (195.201.104[.]53): MacOS/Linux:netstat -an | grep 195.201.104.53 Windows:netstat -an | findstr 195.201.104.53
Lạm dụng công cụ AI: ChatGPT và Cursor đã bị xác nhận bị sử dụng cho mục đích độc hại
HexagonalRodent sử dụng rất nhiều ChatGPT và Cursor để hỗ trợ tấn công, bao gồm tạo mã độc và xây dựng các trang web giả mạo công ty. Dấu hiệu quan trọng để nhận diện mã độc do AI tạo ra là việc sử dụng rất nhiều biểu tượng cảm xúc trong mã (điều này cực kỳ hiếm trong mã viết tay).
Cursor đã chặn các tài khoản và IP liên quan trong vòng một ngày làm việc; OpenAI xác nhận phát hiện việc sử dụng ChatGPT ở mức độ giới hạn, cho biết sự hỗ trợ mà các tài khoản này tìm kiếm thuộc kịch bản lạm dụng hai mặt của các ca sử dụng hợp pháp về an ninh, không phát hiện hoạt động phát triển phần mềm độc hại liên tục. Đã xác nhận ít nhất 13 dòng tiền từ các ví bị nhiễm đã chảy tới các địa chỉ Ethereum của Triều Tiên đã biết, với số tiền nhận được vượt quá 1,100 triệu USD.
Câu hỏi thường gặp
Nhà phát triển Web3 có thể tự bảo vệ mình khỏi các kiểu tấn công như vậy như thế nào?
Các biện pháp phòng vệ cốt lõi bao gồm: (1) duy trì mức độ cảnh giác cao với các nhà tuyển dụng lạ, đặc biệt là những cơ hội yêu cầu hoàn thành đánh giá mã tại nhà; (2) mở các kho mã không quen trong môi trường sandbox thay vì trên hệ thống chính; (3) kiểm tra định kỳ tệp tasks.json của VSCode để đảm bảo không có tác vụ runOn: folderOpen nào chưa được ủy quyền; (4) sử dụng khóa bảo mật phần cứng để bảo vệ ví mã hóa.
Làm thế nào để xác nhận hệ thống của mình có bị nhiễm hay không?
Chạy lệnh tự kiểm tra nhanh: người dùng MacOS/Linux chạy netstat -an | grep 195.201.104.53, người dùng Windows chạy netstat -an | findstr 195.201.104.53. Nếu phát hiện kết nối liên tục với máy chủ C2 đã biết, hãy ngắt mạng ngay lập tức và tiến hành quét toàn diện phần mềm độc hại.
Vì sao HexagonalRodent chọn NodeJS và Python làm ngôn ngữ của phần mềm độc hại?
Các nhà phát triển Web3 thường đã cài sẵn NodeJS và Python trên hệ thống, vì vậy các tiến trình độc hại có thể hòa vào hoạt động phát triển bình thường của nhà phát triển mà không kích hoạt cảnh báo. Hai ngôn ngữ này không phải là đối tượng giám sát chính của các hệ thống chống phần mềm độc hại truyền thống; cộng thêm việc sử dụng các công cụ làm rối mã nguồn thương mại, khiến việc phát hiện chữ ký (signature) cực kỳ khó khăn.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Quan tài bị bắt: sĩ quan trưởng lực lượng đặc biệt quân đội Mỹ bị bắt vì sử dụng thông tin mật để đặt cược trên Polymarket rằng Maduro bị bắt, thu lợi 400.000 USD
Bộ Tư pháp Mỹ ở Khu Nam của New York đã truy tố viên sĩ quan chỉ huy của lực lượng đặc nhiệm Mỹ, Gannon Ken Van Dyke, với cáo buộc rằng y đã sử dụng thông tin mật để đặt cược trên Polymarket về kết quả Maduro bị bắt, thu lợi khoảng 409,881 USD (13 giao dịch, từ 2025-12-27 đến 2026-1-26). Các cáo buộc bao gồm việc sử dụng trái phép thông tin mật, đánh cắp thông tin không công khai, gian lận giao dịch hàng hóa, lừa đảo chuyển khoản và giao dịch tiền trái phép, v.v.; đây là vụ truy tố liên bang đầu tiên lấy nội gián và giao dịch chênh lệch dựa trên thị trường dự đoán làm trọng tâm, hoặc có thể ảnh hưởng đến hướng đi quản lý trong tương lai.
ChainNewsAbmedia17phút trước
Cảnh sát Tây Ban Nha thu giữ €400K tiền mã hóa từ nền tảng vi phạm bản quyền manga, 3 người bị bắt
Tin tức từ Gate News, ngày 24 tháng 4 — Cảnh sát Tây Ban Nha tại Almería đã tịch thu hai ví lạnh tiền mã hóa chứa khoảng €400.000 trong một cuộc đột kích vào nền tảng phân phối manga bất hợp pháp lớn nhất của nước này. Ba người đã bị bắt liên quan đến chiến dịch, được khởi động
GateNews1giờ trước
OFAC áp lệnh trừng phạt đối với Thượng nghị sĩ Campuchia vì mạng lưới lừa đảo tiền mã hóa
OFAC trừng phạt nghị sĩ Campuchia vì mạng lưới lừa đảo tiền mã hóa
Văn phòng Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Hoa Kỳ (OFAC) đã trừng phạt nghị sĩ Campuchia Kok An, người bị cáo buộc kiểm soát “các khu lừa đảo” khắp Campuchia đã lừa đảo người Mỹ. OFAC đã chỉ định An và 28 người khác
CryptoFrontier2giờ trước
Khu vực lừa đảo quy mô hàng trăm triệu do các quan chức cấp cao Campuchia bị Mỹ trừng phạt! Tether đóng băng hơn 344 triệu USD USDT
Bộ Tài chính và Bộ Tư pháp Hoa Kỳ gần đây đã tiến hành một chiến dịch thực thi liên hợp nhằm đối phó với các vụ lừa đảo “giết heo” (Pig Butchering) trong mảng hẹn hò sử dụng tiền điện tử đang ngày càng hoành hành ở Đông Nam Á. Cơ quan chức năng đã chính thức công bố việc trừng phạt Thượng nghị sĩ Campuchia Loa An (Kok An) và 28 cá nhân cùng tổ chức trong mạng lưới tội phạm của ông, với cáo buộc rằng họ sử dụng thế lực chính trị và các khu sòng bạc do mình kiểm soát để che chở cho các hoạt động lừa đảo quy mô lớn và buôn người. Theo ước tính, các hoạt động lừa đảo này chỉ trong một năm đã khiến người dân Mỹ thiệt hại lên tới 10 tỷ USD. Nhằm phối hợp với đợt truy quét này, nhà phát hành stablecoin Rether cũng đã phong tỏa hơn 344 triệu USD tài sản kỹ thuật số liên quan.
Lừa đảo “giết heo” trong tình yêu: Người dân Mỹ thiệt hại hơn 10 tỷ USD mỗi năm
Trong những năm gần đây, các tổ chức tội phạm xuyên quốc gia lấy Đông Nam Á làm căn cứ đã ồ ạt sử dụng phương thức lừa đảo “nuôi mồi rồi giết” được gọi là “giết heo” (Pig Butchering). Kẻ lừa đảo sẽ thông qua mạng xã hội hoặc phần mềm nhắn tin, tiêu tốn vài tháng
ChainNewsAbmedia2giờ trước
Binh sĩ Lục quân Mỹ bị bắt vì sử dụng tình báo mật để cá cược việc Maduro bị bắt trên Polymarket
Tin tức Cổng, ngày 24 tháng 4 — Bộ Tư pháp Hoa Kỳ đã bắt giữ một hạ sĩ quân nhân đang tại ngũ của Lục quân Mỹ là Gannon Ken Van Dyke, 38 tuổi, với cáo buộc sử dụng thông tin mật để đặt cược trên Polymarket, một thị trường dự đoán, liên quan đến việc cựu Tổng thống Venezuela Nicolás Maduro bị bắt. Van Dyke đã tham gia
GateNews2giờ trước
