Vào tháng 6 năm 2025, một kỹ sư blockchain người Nga đã trở thành nạn nhân của một cuộc tấn công mạng được lên kế hoạch tỉ mỉ, dẫn đến việc mất hơn 500.000 USD tài sản tiền điện tử. Sự cố này là một lời nhắc nhở đáng sợ về những mối nguy hiểm tiềm ẩn có thể tồn tại trong các hệ sinh thái mã nguồn mở. Cuộc tấn công được điều tra bởi các chuyên gia an ninh mạng, đã tiết lộ việc sử dụng một tiện ích mở rộng độc hại được ngụy trang thành một công cụ hợp pháp cho Cursor AI IDE – một môi trường dựa trên Visual Studio Code được tùy chỉnh để phát triển hỗ trợ AI. Sự việc này nhấn mạnh mối đe dọa ngày càng tăng của các gói mã nguồn mở bị vũ khí hóa, với các kho lưu trữ như PyPI, npm và Open VSX đang trở thành bãi săn cho tội phạm mạng nhắm mục tiêu vào các cá nhân giá trị cao như nhà phát triển tiền điện tử.
Chi Tiết Cuộc Tấn Công
Vector Khai Thác Ban Đầu
Vector tấn công chính là một tiện ích mở rộng giả mạo có tên “Solidity Language”. Tiện ích này được tạo ra với mục đích lừa đảo, giả vờ cung cấp chức năng tô sáng cú pháp cho mã hợp đồng thông minh Solidity. Tiện ích độc hại này được lưu trữ trên kho Open VSX và hiển thị 54.000 lượt tải xuống. Số lượt tải này có khả năng đã bị thổi phồng một cách giả tạo nhằm khai thác thuật toán xếp hạng của kho, ưu tiên các yếu tố như thời gian cập nhật gần đây bên cạnh số lượng lượt tải.
Tiện ích độc hại đã được cập nhật vào ngày 15 tháng 6 năm 2025, khiến nó vượt qua phiên bản hợp pháp (được cập nhật lần cuối vào ngày 30 tháng 5 năm 2025). Điều này khiến tiện ích giả mạo xuất hiện ở vị trí cao hơn trong kết quả tìm kiếm cho từ khóa “solidity”, lừa nhà phát triển cảnh giác cài đặt nó.
Chuỗi Hành Động Độc Hại
Thay vì cung cấp chức năng đã hứa, tiện ích mở rộng độc hại đã thực hiện một chuỗi hoạt động nguy hiểm. Nó đã tải xuống các script PowerShell từ một máy chủ đáng ngờ tại angelic[.]su. Các script này sau đó tạo điều kiện cho việc cài đặt phần mềm quản lý từ xa ScreenConnect để kẻ tấn công có thể kiểm soát thông qua máy chủ relay relay.lmfao[.]su.
Các Công Cụ Độc Hại Được Sử Dụng
Các script tiếp theo đã triển khai backdoor Quasar và một phần mềm độc hại đánh cắp thông tin (được Kaspersky phát hiện là HEUR:Trojan-PSW.MSIL.PureLogs.gen). Mục tiêu cuối cùng của các công cụ này là đánh cắp các cụm mật khẩu từ ví tiền điện tử của nạn nhân.
Diễn Biến Và Chiến Dịch Mở Rộng
Sự Kiện Tái Tấn Công
Mức độ tinh vi của cuộc tấn công không dừng lại ở đó. Ngay cả sau khi tiện ích mở rộng độc hại ban đầu bị gỡ bỏ vào ngày 2 tháng 7 năm 2025, những kẻ tấn công đã nhanh chóng tải lên một phiên bản mới dưới tên chính xác “solidity”, nhưng bắt chước tên người dùng của nhà phát triển hợp pháp với một lỗi chính tả tinh vi (juanbIanco so với juanblanco). Với số lượt tải xuống không thể tin được là hai triệu, nó xuất hiện cùng với tiện ích mở rộng chính hãng trong kết quả tìm kiếm, khai thác sự tương đồng về hình ảnh để lừa dối người dùng sâu hơn.
Chiến Dịch Rộng Khắp
Các gói độc hại bổ sung như “solsafe” trên npm và các tiện ích mở rộng VS Code khác (solaibot, among-eth, blankebesxstnion) đã được phát hiện, sử dụng các phương pháp lây nhiễm gần như giống hệt nhau, cho thấy một chiến dịch rộng lớn hơn nhắm mục tiêu vào các chuyên gia blockchain. Theo báo cáo, các cuộc tấn công này liên tục sử dụng các script bị làm xáo trộn từ paste.ee và các payload được ẩn trong hình ảnh trên archive.org, làm nổi bật một mối đe dọa có hệ thống và dai dẳng.
Indicators of Compromise (IOCs)
- Tên miền độc hại:
angelic[.]surelay.lmfao[.]su
- Tên phần mềm độc hại:
- Quasar backdoor
- Stealer malware (phát hiện bởi Kaspersky là HEUR:Trojan-PSW.MSIL.PureLogs.gen)
- Tiện ích mở rộng VS Code độc hại:
- Solidity Language (phiên bản giả mạo)
- solaibot
- among-eth
- blankebesxstnion
- Gói npm độc hại:
- solsafe
- Dịch vụ lưu trữ được sử dụng để phát tán payload:
- paste.ee
- archive.org
Bài Học Và Biện Pháp Phòng Ngừa
Sự cố này là một cảnh báo rõ ràng cho ngành công nghiệp tiền điện tử, vốn phụ thuộc nhiều vào các công cụ mã nguồn mở. Các nhà phát triển phải hết sức thận trọng, xác minh tính xác thực của các gói phần mềm và kiểm tra mã nguồn để tìm các điểm bất thường. Các giải pháp an ninh mạng hiện đại có thể đã ngăn chặn cuộc tấn công này, nhấn mạnh sự cần thiết của các biện pháp phòng thủ mạnh mẽ ngay cả đối với các chuyên gia dày dạn kinh nghiệm.
Khi các gói độc hại tiếp tục sinh sôi nảy nở, sự cảnh giác và các biện pháp bảo vệ tiên tiến vẫn là yếu tố then chốt để bảo vệ tài sản kỹ thuật số trong lĩnh vực có rủi ro cao này.
