Cơ quan bảo mật SlowMist phát hành cảnh báo khẩn cấp. Tổ chức Lazarus của Triều Tiên đang nhắm vào các nhà phát triển Web3 thông qua các thủ đoạn kỹ thuật xã hội như vị trí từ xa lương cao. Kẻ tấn công dụ dỗ nhà phát triển thực thi mã đánh giá kỹ năng, trong đó có mã hậu môn phần mềm độc hại, cuối cùng đánh cắp tài sản mã hóa. Theo báo cáo điều tra của Expel, trong ba tháng đầu năm 2026, số tiền thiệt hại lên tới 1,200 triệu USD.
Phương thức tấn công: mã đánh giá kỹ năng là điểm xâm nhập chính
Kẻ tấn công trước hết liên hệ mục tiêu qua LinkedIn hoặc các nền tảng tuyển dụng, hoặc tạo các trang web công ty giả để đăng tin tuyển dụng. Chúng khiến nhà phát triển chạy mã độc với lý do “đánh giá kỹ năng làm việc tại nhà”. Mã đánh giá bao gồm hai con đường lây nhiễm:
Tấn công VSCode tasks.json: chèn mã độc vào tệp tasks.json có chỉ thị runOn: folderOpen, khiến nhà phát triển chỉ cần mở thư mục chứa mã trong VSCode là phần mềm độc hại tự động thực thi.
Hậu môn cài sẵn trong mã: bản thân mã đánh giá nhúng hậu môn, kích hoạt lây nhiễm khi mã được thực thi, cung cấp một điểm vào dự phòng cho các nhà phát triển không sử dụng VSCode.
Các phần mềm độc hại được sử dụng bao gồm: BeaverTail (công cụ đánh cắp dữ liệu đa năng trên NodeJS), OtterCookie (shell ngược trên NodeJS) và InvisibleFerret (shell ngược trên Python).
Tấn công chuỗi cung ứng lần đầu: phần mở rộng fast-draft VSX bị xâm nhập
Vào ngày 18 tháng 3 năm 2026, HexagonalRodent tiến hành tấn công chuỗi cung ứng vào tiện ích mở rộng VSCode “fast-draft”, phát tán OtterCookie độc hại thông qua tiện ích bị xâm hại. SlowMist xác nhận rằng vào ngày 9 tháng 3 năm 2026, một người dùng có cùng tên với nhà phát triển tiện ích fast-draft đã bị nhiễm OtterCookie.
Nếu nghi ngờ hệ thống đã bị nhiễm, có thể dùng các lệnh sau để kiểm tra xem có đang kết nối tới các máy chủ C2 đã biết hay không (195.201.104[.]53): MacOS/Linux:netstat -an | grep 195.201.104.53 Windows:netstat -an | findstr 195.201.104.53
Lạm dụng công cụ AI: ChatGPT và Cursor đã bị xác nhận bị sử dụng cho mục đích độc hại
HexagonalRodent sử dụng rất nhiều ChatGPT và Cursor để hỗ trợ tấn công, bao gồm tạo mã độc và xây dựng các trang web giả mạo công ty. Dấu hiệu quan trọng để nhận diện mã độc do AI tạo ra là việc sử dụng rất nhiều biểu tượng cảm xúc trong mã (điều này cực kỳ hiếm trong mã viết tay).
Cursor đã chặn các tài khoản và IP liên quan trong vòng một ngày làm việc; OpenAI xác nhận phát hiện việc sử dụng ChatGPT ở mức độ giới hạn, cho biết sự hỗ trợ mà các tài khoản này tìm kiếm thuộc kịch bản lạm dụng hai mặt của các ca sử dụng hợp pháp về an ninh, không phát hiện hoạt động phát triển phần mềm độc hại liên tục. Đã xác nhận ít nhất 13 dòng tiền từ các ví bị nhiễm đã chảy tới các địa chỉ Ethereum của Triều Tiên đã biết, với số tiền nhận được vượt quá 1,100 triệu USD.
Câu hỏi thường gặp
Nhà phát triển Web3 có thể tự bảo vệ mình khỏi các kiểu tấn công như vậy như thế nào?
Các biện pháp phòng vệ cốt lõi bao gồm: (1) duy trì mức độ cảnh giác cao với các nhà tuyển dụng lạ, đặc biệt là những cơ hội yêu cầu hoàn thành đánh giá mã tại nhà; (2) mở các kho mã không quen trong môi trường sandbox thay vì trên hệ thống chính; (3) kiểm tra định kỳ tệp tasks.json của VSCode để đảm bảo không có tác vụ runOn: folderOpen nào chưa được ủy quyền; (4) sử dụng khóa bảo mật phần cứng để bảo vệ ví mã hóa.
Làm thế nào để xác nhận hệ thống của mình có bị nhiễm hay không?
Chạy lệnh tự kiểm tra nhanh: người dùng MacOS/Linux chạy netstat -an | grep 195.201.104.53, người dùng Windows chạy netstat -an | findstr 195.201.104.53. Nếu phát hiện kết nối liên tục với máy chủ C2 đã biết, hãy ngắt mạng ngay lập tức và tiến hành quét toàn diện phần mềm độc hại.
Vì sao HexagonalRodent chọn NodeJS và Python làm ngôn ngữ của phần mềm độc hại?
Các nhà phát triển Web3 thường đã cài sẵn NodeJS và Python trên hệ thống, vì vậy các tiến trình độc hại có thể hòa vào hoạt động phát triển bình thường của nhà phát triển mà không kích hoạt cảnh báo. Hai ngôn ngữ này không phải là đối tượng giám sát chính của các hệ thống chống phần mềm độc hại truyền thống; cộng thêm việc sử dụng các công cụ làm rối mã nguồn thương mại, khiến việc phát hiện chữ ký (signature) cực kỳ khó khăn.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Khu vực lừa đảo quy mô hàng trăm triệu do các quan chức cấp cao Campuchia bị Mỹ trừng phạt! Tether đóng băng hơn 344 triệu USD USDT
Bộ Tài chính và Bộ Tư pháp Hoa Kỳ gần đây đã tiến hành một chiến dịch thực thi liên hợp nhằm đối phó với các vụ lừa đảo “giết heo” (Pig Butchering) trong mảng hẹn hò sử dụng tiền điện tử đang ngày càng hoành hành ở Đông Nam Á. Cơ quan chức năng đã chính thức công bố việc trừng phạt Thượng nghị sĩ Campuchia Loa An (Kok An) và 28 cá nhân cùng tổ chức trong mạng lưới tội phạm của ông, với cáo buộc rằng họ sử dụng thế lực chính trị và các khu sòng bạc do mình kiểm soát để che chở cho các hoạt động lừa đảo quy mô lớn và buôn người. Theo ước tính, các hoạt động lừa đảo này chỉ trong một năm đã khiến người dân Mỹ thiệt hại lên tới 10 tỷ USD. Nhằm phối hợp với đợt truy quét này, nhà phát hành stablecoin Rether cũng đã phong tỏa hơn 344 triệu USD tài sản kỹ thuật số liên quan.
Lừa đảo “giết heo” trong tình yêu: Người dân Mỹ thiệt hại hơn 10 tỷ USD mỗi năm
Trong những năm gần đây, các tổ chức tội phạm xuyên quốc gia lấy Đông Nam Á làm căn cứ đã ồ ạt sử dụng phương thức lừa đảo “nuôi mồi rồi giết” được gọi là “giết heo” (Pig Butchering). Kẻ lừa đảo sẽ thông qua mạng xã hội hoặc phần mềm nhắn tin, tiêu tốn vài tháng
ChainNewsAbmedia8phút trước
Binh sĩ Lục quân Mỹ bị bắt vì sử dụng tình báo mật để cá cược việc Maduro bị bắt trên Polymarket
Tin tức Cổng, ngày 24 tháng 4 — Bộ Tư pháp Hoa Kỳ đã bắt giữ một hạ sĩ quân nhân đang tại ngũ của Lục quân Mỹ là Gannon Ken Van Dyke, 38 tuổi, với cáo buộc sử dụng thông tin mật để đặt cược trên Polymarket, một thị trường dự đoán, liên quan đến việc cựu Tổng thống Venezuela Nicolás Maduro bị bắt. Van Dyke đã tham gia
GateNews14phút trước
Sàn giao dịch Zondacrypto vướng cáo buộc biển thủ 350 triệu USD, CEO công khai phủ nhận
Một trong những sàn giao dịch tiền mã hóa lớn nhất tại Ba Lan, CEO của Zondacrypto là Przemysław Kral đã công khai tuyên bố trên mạng xã hội vào ngày 16 tháng 4 rằng sàn này không thể truy cập một ví chứa 4,503 Bitcoin, hiện có giá trị hơn 350 triệu USD. Ông Kral đã công bố địa chỉ ví liên quan để bác bỏ cáo buộc biển thủ, nhưng ngay sau sự tiết lộ này, đã xảy ra tình trạng rút tiền hàng loạt.
MarketWhisper2giờ trước
Bitwarden CLI bị lộ gói npm độc hại, ví tiền mã hóa đối mặt với rủi ro bị đánh cắp
Mục tiêu: “Slow Fog” Giám đốc an ninh thông tin cấp cao 23pds chuyển tiếp cảnh báo của nhóm bảo mật Bitwarden. Phiên bản Bitwarden CLI 2026.4.0 đã từng, trong khoảng 1,5 giờ từ 5:57 đến 7:30 chiều theo giờ miền Đông nước Mỹ ngày 22 tháng 4, bị phát hiện là đã bị can thiệp, dẫn đến việc các phiên bản npm chứa gói tin độc hại được phát tán thông qua npm đã bị thu hồi; Bitwarden chính thức xác nhận rằng dữ liệu kho mật khẩu và các hệ thống sản xuất không bị ảnh hưởng.
MarketWhisper2giờ trước
JPMorgan: Lỗi KelpDAO xóa sổ 20 tỷ DeFi TVL, sức hấp dẫn của tổ chức bị suy giảm
Báo cáo do nhóm nghiên cứu của JPMorgan, do nhà phân tích Nikolaos Panigirtzoglou dẫn dắt, công bố vào ngày 23 tháng 4 cho biết, các lỗ hổng bảo mật dai dẳng và tổng giá trị khóa (TVL) ì ạch đang làm suy yếu sức hấp dẫn của tài chính phi tập trung (DeFi) đối với các nhà đầu tư tổ chức. Báo cáo nhấn mạnh rằng lỗ hổng của KelpDAO đã xóa đi khoảng 200 tỷ USD DeFi TVL trong vài ngày, phơi bày rủi ro mang tính cấu trúc.
MarketWhisper2giờ trước
Đề xuất CoW DAO bồi thường cho các nạn nhân bị chiếm đoạt tên miền cow.fi, bồi hoàn tối đa 100% thiệt hại
CoW DAO vào ngày 23 tháng 4 đã công bố đề xuất bồi thường (CIP) trên diễn đàn quản trị, đề xuất thiết lập một chương trình trợ cấp tùy ý, để cung cấp bồi thường thiệt hại lên tới 100% cho các nạn nhân của sự cố chiếm đoạt tên miền cow.fi diễn ra vào ngày 14 tháng 4. Sự cố ước tính gây ra thiệt hại cho người dùng khoảng 120 vạn đô la USDC, CoW DAO nhấn mạnh rằng việc bồi thường mang tính chất hỗ trợ ưu đãi được phát tự nguyện, không đồng nghĩa với việc thừa nhận bất kỳ trách nhiệm pháp lý nào.
MarketWhisper2giờ trước
