MicrosoftSystem64 malware là một chiến dịch đánh cắp dữ liệu âm thầm, lợi dụng chuỗi cung ứng npm và hạ tầng HuggingFace để che giấu hoạt động. Mã độc giả mạo quy trình hợp pháp của Microsoft nhằm làm giảm khả năng bị phát hiện bởi các công cụ bảo mật.
Chuỗi lây nhiễm trong cuộc tấn công mạng
Điểm khởi đầu của MicrosoftSystem64 malware là gói npm độc hại js-logger-pack. Gói này đã trải qua 29 phiên bản trong giai đoạn đầu tháng 4/2026, từ một probe đơn giản phát triển thành trình thả mã độc hoàn chỉnh.
Khi nhà phát triển cài đặt gói, nó âm thầm tải xuống và thực thi payload thứ hai là MicrosoftSystem64. Binary này có dung lượng 81 MB, chạy trên Windows, Linux và macOS mà không cần cài đặt thêm phần mềm phụ trợ.
Tham khảo báo cáo phân tích tại SafeDep.
Hành vi bám trụ và ẩn mình
Ngay sau khi kích hoạt, MicrosoftSystem64 malware kết nối tới máy chủ điều khiển từ xa, bắt đầu thu thập dữ liệu và thiết lập cơ chế bám trụ để tồn tại sau khi hệ thống khởi động lại.
Mã độc dùng cơ chế tồn tại gốc của từng nền tảng:
- Windows: Scheduled tasks và registry keys.
- macOS: LaunchAgents.
- Linux: systemd services và autostart entries.
Trong danh sách tiến trình, nó gán tên MicrosoftSystem64 để mô phỏng một dịch vụ nền hợp lệ. Cách đặt tên này làm tăng độ khó cho quá trình phát hiện tấn công và phân tích thủ công.
MicrosoftSystem64 malware và cơ chế đánh cắp dữ liệu
MicrosoftSystem64 malware được mô tả như một remote access trojan với khả năng thu thập dữ liệu rộng. Nó nhắm tới mật khẩu từ 15 nhóm trình duyệt, lấy dữ liệu từ hơn 80 tiện ích ví tiền điện tử, chiếm phiên Telegram Desktop, sao chép khóa SSH, ghi lại phím bấm liên tục và chụp màn hình mỗi 60 giây.
Dữ liệu bị thu thập được đẩy lên các private datasets trên HuggingFace bằng tài khoản của kẻ tấn công. Mỗi nạn nhân có một bộ dataset riêng, được tổ chức theo danh tính máy và loại dữ liệu, gồm ảnh chụp màn hình, thông tin xác thực và khóa SSH.
Điểm đáng chú ý của MicrosoftSystem64 malware là cách nó thực hiện data exfiltration. Thay vì gửi dữ liệu về máy chủ riêng, mã độc tải dữ liệu lên HuggingFace thông qua API hợp lệ của nền tảng này.
Do đó, lưu lượng đi ra trông giống các yêu cầu HTTPS bình thường tới một dịch vụ AI phổ biến, khiến nhiều hệ thống giám sát mạng khó gắn cờ là bất thường. Đây là một dạng rủi ro bảo mật điển hình khi hạ tầng tin cậy bị lạm dụng làm kênh exfiltration.
Cơ chế cập nhật và điều khiển từ xa
MicrosoftSystem64 malware duy trì kết nối lại với máy chủ điều khiển qua WebSocket nếu bị gián đoạn. Khi tải lên thất bại, nó tự động thử lại để tránh mất dữ liệu đã đánh cắp.
Mã độc còn kiểm tra cập nhật mỗi 24 giờ và tự thay thế binary khi có phiên bản mới. Theo kết quả phân tích, kẻ điều khiển có tới 24 lệnh từ xa, cho phép kiểm soát gần như toàn bộ hệ thống bị nhiễm.
MicrosoftSystem64 malware trong chuỗi cung ứng open-source
Con đường lây nhiễm của MicrosoftSystem64 malware đi qua open-source supply chain, sử dụng các gói npm được tạo để trông như tiện ích dành cho lập trình viên.
Các tài khoản publisher được ghi nhận trong chiến dịch gồm:
- js-logger-pack
- terminal-logger-utils
- ts-logger-pack
- pretty-logger-utils
- pinno-loggers
Theo báo cáo, các gói thuộc cụm jpeek hoặc toskypi cần được xem là có nguy cơ cao. Bất kỳ hệ thống nào đã cài đặt các gói này nên được coi là hệ thống bị xâm nhập cho tới khi kiểm tra xong.
IOC liên quan đến MicrosoftSystem64 malware
IOC dưới đây được trích xuất từ mô tả chiến dịch và cần được đối chiếu trong môi trường SIEM, MISP hoặc công cụ threat hunting nội bộ:
- Malware family: MicrosoftSystem64
- Dropper package: js-logger-pack
- Related packages: terminal-logger-utils, ts-logger-pack, pretty-logger-utils, pinno-loggers
- Cluster: jpeek, toskypi
- Persistence artifacts: scheduled tasks, registry keys, LaunchAgents, systemd services, autostart entries
- Network behavior: HTTPS tới HuggingFace, WebSocket reconnect, tự động retry upload
- Data targets: browser credentials, cryptocurrency wallet extensions, Telegram Desktop sessions, SSH keys, screenshots
Giám sát và ứng phó với lỗ hổng CVE trong bối cảnh chuỗi cung ứng
Dù nội dung không gắn với một lỗ hổng CVE cụ thể, đây vẫn là một cảnh báo CVE theo góc nhìn phòng thủ vì nó phản ánh rủi ro từ phần mềm nguồn mở và phụ thuộc bên thứ ba. Với MicrosoftSystem64 malware, ưu tiên là kiểm tra dependency, xác định package độc hại và cô lập máy bị ảnh hưởng.
Để tra cứu thêm theo hướng threat intelligence và cập nhật chỉ báo liên quan, có thể đối chiếu thông tin tại NVD.
Hành động cần thực hiện
Nhóm an ninh và nhà phát triển cần rà soát toàn bộ dependency của dự án, đặc biệt nếu có package thuộc jpeek hoặc toskypi. Máy đã cài đặt các package này nên được cô lập và điều tra.
Danh sách thông tin cần xoay vòng ngay lập tức gồm:
- Credentials
- API tokens
- SSH keys
- Cryptocurrency wallet seed phrases
Trong trường hợp có dấu hiệu xâm nhập trái phép, cần kiểm tra log tải gói npm, tiến trình nền, tác vụ khởi động cùng lưu lượng HTTPS ra ngoài tới các endpoint hợp lệ nhưng bất thường về ngữ cảnh sử dụng.
Lệnh kiểm tra nhanh trên hệ thống Linux
npm ls --all
systemctl list-unit-files --type=service
systemctl --user list-unit-files --type=service
ps aux | grep -i MicrosoftSystem64
crontab -l
ls -la ~/.config/autostart/
Gợi ý kiểm tra trên Windows
schtasks /query /fo LIST /v
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
tasklist /v | findstr /i MicrosoftSystem64
Trong phân tích MicrosoftSystem64 malware, lưu ý rằng IP và domain đã được làm mờ trong tài liệu gốc. Việc re-fang chỉ nên thực hiện trong môi trường kiểm soát như MISP, VirusTotal hoặc SIEM nội bộ.
