News

Tin tặc Triều Tiên giả mạo tuyển dụng crypto, phát tán mã độc đánh cắp ví và mật khẩu

Kaido

3 min read
Tin tặc Triều Tiên giả mạo tuyển dụng crypto, phát tán mã độc đánh cắp ví và mật khẩu

Một chiến dịch tấn công mạng mới có liên hệ với chính phủ Triều Tiên đang nhắm trực tiếp vào các chuyên gia làm việc trong ngành blockchain và tiền mã hóa. Nhóm tin tặc được xác định đã sử dụng các website tuyển dụng giả mạo để phát tán mã độc đánh cắp thông tin đăng nhập ví crypto, trình quản lý mật khẩu, và các dữ liệu cá nhân nhạy cảm.

🎯 Mục tiêu tấn công: Nhân sự ngành blockchain

Theo báo cáo được công bố ngày 19/6 bởi nhóm nghiên cứu bảo mật Cisco Talos, nhóm tin tặc có biệt danh “Famous Chollima” (hay còn gọi là Wagemole) đã tiến hành nhiều chiến dịch lừa đảo nhắm vào các kỹ sư, lập trình viên, nhà phát triển và ứng viên đang tìm việc trong ngành crypto, đặc biệt là ở khu vực Ấn Độ và châu Á.

Chúng sử dụng chiến thuật giả danh các công ty nổi tiếng trong ngành như Coinbase, Robinhood, Uniswap, tạo ra các trang web tuyển dụng giả và mời nạn nhân tham gia các “phỏng vấn kỹ thuật”.

🛑 Quá trình tấn công: Từ mời chào đến đánh cắp

Quy trình lừa đảo được thực hiện tinh vi:

  1. Tiếp cận nạn nhân qua email hoặc mạng xã hội với lời mời làm việc hấp dẫn.
  2. Hướng dẫn nạn nhân truy cập trang tuyển dụng giả mạo.
  3. Mời tham gia bài kiểm tra kỹ năng hoặc phỏng vấn qua video.
  4. Trong quá trình phỏng vấn, yêu cầu nạn nhân bật webcam/microchạy đoạn mã hoặc cài phần mềm "cập nhật driver" – thực chất là mã độc PylangGhost.

🧬 Về mã độc PylangGhost

PylangGhost là một loại mã độc được viết bằng Python, là biến thể của GolangGhost RAT từng được phát hiện trước đó. Sau khi được kích hoạt, mã độc sẽ:

  • Chiếm quyền điều khiển từ xa máy tính nạn nhân
  • Đánh cắp cookie và thông tin đăng nhập từ hơn 80 tiện ích mở rộng trình duyệt
  • Nhắm tới các ví crypto và trình quản lý mật khẩu phổ biến như:
    • MetaMask, Phantom, TronLink, Bitski, Initia, MultiverseX
    • 1Password, NordPass, LastPass...

Ngoài ra, nó còn có khả năng:

  • Chụp ảnh màn hình
  • Quản lý tệp hệ thống
  • Ghi lại dữ liệu trình duyệt
  • Duy trì quyền truy cập từ xa lâu dài

🧠 Có dùng AI viết mã không?

Cisco Talos cho biết không có bằng chứng cho thấy nhóm tin tặc đã sử dụng mô hình ngôn ngữ AI như ChatGPT để viết mã độc, dựa trên cách chú thích và cấu trúc của mã nguồn.

❗ Chiến thuật cũ – rủi ro mới

Đây không phải là lần đầu tiên các nhóm tin tặc Triều Tiên dùng chiêu “tuyển dụng giả” để phát tán phần mềm độc hại. Trước đó, một vụ tấn công tương tự đã được ghi nhận trong vụ hack Bybit trị giá 1.4 tỷ USD, nơi các nhà phát triển bị dụ tham gia “bài test tuyển dụng” có cài mã độc.

🛡️ Cảnh báo và khuyến nghị

Trong bối cảnh ngành Web3 ngày càng thu hút nhiều tài năng công nghệ, các chiến dịch tấn công tinh vi nhằm vào cá nhân trong ngành crypto đang gia tăng.

Người dùng cần lưu ý:

  • Không mở email tuyển dụng đáng ngờ hoặc từ nguồn không xác minh
  • Không tải phần mềm hoặc chạy lệnh trong quá trình phỏng vấn online
  • Luôn kiểm tra kỹ URL các trang tuyển dụng (chính chủ vs giả mạo)
  • Sử dụng ví lạnh và xác thực 2FA để bảo vệ tài sản số

📌 Kết luận

Chiến dịch phát tán mã độc PylangGhost là lời nhắc mạnh mẽ rằng bảo mật cá nhân đang trở thành chiến tuyến đầu tiên trong cuộc chiến mạng hiện đại. Với giá trị của các ví tiền mã hóa ngày càng tăng, bạn chính là mục tiêu – không phải vì bạn nổi tiếng, mà vì bạn có ví.

Read more

## The below codes work for latest Ghost default theme source - v1.2.3