Các chiến dịch tấn công mạng mới đang lợi dụng sự tin tưởng của cộng đồng lập trình viên bằng cách nhúng mã độc vào các kho lưu trữ GitHub giả mạo. Chiến dịch này, được theo dõi là UNK_DeadDrop, sử dụng các lời mời nhận việc và yêu cầu xem xét mã nguồn giả để lừa các nhà phát triển sao chép (clone) các kho lưu trữ bị nhiễm độc. Hành động này vô tình thực thi mã độc trên chính máy của họ, dẫn đến nguy cơ hệ thống bị xâm nhập.
Chiến dịch tấn công nhắm vào cộng đồng lập trình viên
Hoạt động tấn công này nhắm mục tiêu vào cộng đồng phát triển phần mềm, sử dụng các kỹ thuật tinh vi để đánh lừa. Kẻ tấn công gửi hơn 250 email lừa đảo (phishing) tới các cá nhân thuộc gần 100 tổ chức trong khoảng thời gian từ tháng 4 đến tháng 5 năm 2026.
Các lĩnh vực mục tiêu chính
Các công ty trong lĩnh vực tài chính, tiền mã hóa, giáo dục và công nghệ là những mục tiêu chính. Phần lớn các tổ chức bị ảnh hưởng đều đặt tại Hoa Kỳ. Kẻ tấn công sử dụng tên công ty giả mạo thuyết phục và các tên miền gửi thư chuyên nghiệp để làm cho các email trông có vẻ hợp pháp.
Các nhà phân tích của Proofpoint đã báo cáo rằng hoạt động này có khả năng được thực hiện bởi một nhóm tin tặc có liên quan, và nó được theo dõi như một cụm tấn công riêng biệt. Các nhà nghiên cứu cũng ghi nhận sự trùng lặp đáng kể với một nhóm đã biết trước đây, mặc dù không có sự trùng lặp cơ sở hạ tầng trực tiếp nào được tìm thấy trong dữ liệu theo dõi của Proofpoint.
Phương thức tấn công và kỹ thuật khai thác
Điểm nguy hiểm của chiến dịch này là cách nó hòa nhập một cách tự nhiên vào quy trình làm việc hàng ngày của lập trình viên. Một nhà phát triển nhận được một email có vẻ là một nhiệm vụ kỹ thuật hợp pháp có khả năng cao sẽ sao chép một kho lưu trữ và mở nó trong trình chỉnh sửa mã của họ mà không do dự. Đây chính là điểm khởi đầu của cuộc tấn công.
Lỗ hổng trong quy trình làm việc của lập trình viên
Cuộc tấn công bắt đầu bằng một email lừa đảo dẫn đến một kho lưu trữ GitHub hoặc GitLab giả mạo một dự án mã hóa thực tế. Các email này trông giống như tin tuyển dụng hoặc yêu cầu xem xét mã nguồn từ các công ty như Pulsynk, Trixauvex, hoặc Ondo Finance. Các thực thể này hoặc là mạo danh hoặc là hoàn toàn bịa đặt.
Khi một nhà phát triển sao chép kho lưu trữ và mở nó trong Visual Studio Code hoặc Cursor, một tệp ẩn có tên tasks.json bên trong một thư mục .vscode được che giấu sẽ tự động chạy các tập lệnh độc hại. Trên macOS và Linux, tập lệnh cài đặt một tiện ích mở rộng VS Code độc hại (VSIX) mạo danh dịch vụ Google, sau đó khởi chạy backdoor Overlord.
Trên Windows, mã độc tải chỉ chạy hoàn toàn trong quy trình của trình chỉnh sửa, không có tệp nhị phân nào được ghi ra đĩa, làm cho việc phát hiện trở nên khó khăn hơn. Việc sử dụng tính năng tự động hóa tác vụ của VS Code là một chiến thuật thông minh, vì hành vi này có vẻ hoàn toàn bình thường trong môi trường phát triển. Đặc biệt, Cursor thực thi tác vụ ẩn mà không cần bất kỳ lời nhắc nào từ người dùng, khiến cuộc tấn công hoàn toàn im lặng trên nền tảng này.
Mã độc đa nền tảng và Backdoor Overlord
Mã độc được triển khai thông qua chiến dịch này có khả năng chạy trên nhiều nền tảng, bao gồm macOS, Linux và Windows. Nó sử dụng một framework mã nguồn mở bằng Go tên là Overlord để duy trì kết nối liên tục với máy chủ điều khiển và chỉ huy (Command-and-Control – C2). Chuỗi lây nhiễm này cho phép truy cập từ xa, đánh cắp thông tin đăng nhập, rút tiền mã hóa và trích xuất dữ liệu trình duyệt.
Khai thác dữ liệu và thông tin nhạy cảm
Sau khi mã độc thiết lập được chỗ đứng, nó chuyển sang giai đoạn đánh cắp mọi thứ có giá trị. Trên macOS, một tệp nhị phân phụ được nhúng có tên darwin-password-prompt sẽ hiển thị một hộp thoại hệ thống giả mạo, yêu cầu người dùng nhập mật khẩu thiết bị của họ. Sau khi mật khẩu được thu thập và xác thực, mã độc sẽ sửa đổi quyền truy cập vào chuỗi khóa trình duyệt và trích xuất thông tin đăng nhập từ Chrome, Brave, Edge, Opera và nhiều trình duyệt khác.
Trên Linux, mã độc sử dụng một công cụ hộp thoại hệ thống gốc gọi là Zenity để tạo ra một lời nhắc giả tương tự và nhắm mục tiêu vào thông tin xác thực của GNOME Keyring bằng các tập lệnh Python. Trên Windows, nó đi theo một con đường kỹ thuật hơn, bao gồm việc bỏ qua mã hóa App-Bound trong các trình duyệt Chromium và trích xuất thông tin xác thực bằng DPAPI. Biến thể Windows nhắm mục tiêu vào 35 tiện ích mở rộng ví tiền mã hóa, 18 ứng dụng ví độc lập và cookie trình duyệt.
Mục tiêu của việc đánh cắp dữ liệu
Tất cả dữ liệu thu thập được, bao gồm nội dung ví, khóa Safe Storage, thông tin đăng nhập và cookie trình duyệt, sẽ được đóng gói vào một tệp ZIP và tải lên máy chủ do kẻ tấn công kiểm soát tại 23.137.105[.]75:5173.
Các chỉ số xâm nhập (IoCs)
Các nhà phát triển làm việc với các tài khoản tiền mã hóa giá trị cao hoặc hoạt động trong không gian DeFi và blockchain đối mặt với rủi ro cao nhất. Các nhóm bảo mật được khuyến nghị xem xét kỹ lưỡng bất kỳ kho lưu trữ nào dành cho nhà phát triển, tìm kiếm các thư mục .vscode ẩn và các tệp tasks.json bất thường trước khi mở chúng trong bất kỳ IDE nào. Các tổ chức cũng nên hạn chế cài đặt thực thi tác vụ tự động của VS Code và giám sát các kết nối đi để phát hiện lưu lượng truy cập bất thường đến các điểm cuối WebSocket không xác định.
- Địa chỉ IP C2:
23.137.105[.]75 - Cổng C2:
5173 - Tệp cấu hình độc hại:
.vscode/tasks.json - Tệp/Thư mục quan trọng:
.vscode,tasks.json, tiện ích mở rộng VSIX (trên macOS/Linux) - Tên Backdoor: Overlord
Các địa chỉ IP và tên miền được cố tình làm mất liên kết (ví dụ: [.]) để ngăn chặn việc phân giải hoặc tạo siêu liên kết vô tình. Chỉ khôi phục liên kết trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn. Để biết thêm thông tin chi tiết về chiến dịch và các phát hiện liên quan, vui lòng tham khảo báo cáo từ Proofpoint: Proofpoint Threat Insight.
