Tin Tặc Triều Tiên Tấn Công Tiền Điện Tử & Web3: Lạm Dụng GitHub, Mã Độc Mới

23/06/2025
6 mins read

Các nhóm tin tặc được nhà nước Triều Tiên bảo trợ đã liên tục sử dụng cơ sở hạ tầng đám mây, các chiêu trò lừa đảo tuyển dụng giả mạo, và các gói phần mềm độc hại để tiến hành các chiến dịch gián điệp mạng và trộm cắp tiền điện tử trong năm 2025. Các hoạt động này bao gồm kỹ thuật xã hội tinh vi, triển khai mã độc, tấn công chuỗi cung ứng nhắm vào các nhà phát triển Web3, và lạm dụng các nền tảng hợp pháp như GitHub để lưu trữ mã độc và né tránh phát hiện.

Nội dung
Các Nhóm Tác Nhân Đe Dọa
Nền Tảng và Cơ Sở Hạ Tầng Bị Lợi Dụng
Họ Mã Độc và Công Cụ
PylangGhost Malware
GolangGhost Trojan (Tiền thân)
Chiến Thuật, Kỹ Thuật và Quy Trình (TTPs)
Kỹ thuật xã hội
Tấn công chuỗi cung ứng
Lạm dụng cơ sở hạ tầng đám mây
Lừa đảo (Phishing) và Công cụ truy cập từ xa (Remote Access Tools)
Ví Dụ Lệnh Dòng Lệnh
Các Sự Cố Đáng Chú Ý và Chi Tiết Chiến Dịch
Quy mô trộm cắp tiền điện tử
Các Chỉ Số Thỏa Hiệp (IOCs)
Gói NPM độc hại web3-wrapper-ethers
Các trang web tuyển dụng giả mạo nhắm vào chuyên gia tiền điện tử

Các Nhóm Tác Nhân Đe Dọa

Các chiến dịch gần đây được cho là có liên quan đến một số nhóm tấn công mạng nổi tiếng có liên kết với Triều Tiên, mỗi nhóm đều có những đặc điểm và mục tiêu riêng biệt:

  • Famous Chollima: Nhóm này hoạt động tích cực từ giữa năm 2024, đặc biệt sử dụng các bài đăng tuyển dụng giả mạo để nhắm mục tiêu vào các chuyên gia tiền điện tử. Phương thức này cho phép chúng thiết lập điểm tiếp cận ban đầu thông qua kỹ thuật xã hội.
  • Lazarus Group: Đây là một trong những nhóm nổi tiếng nhất của Triều Tiên, liên quan đến các vụ trộm tiền điện tử quy mô lớn, bao gồm cả vụ khai thác trị giá 1,5 tỷ USD tại Bybit. Hoạt động của Lazarus thường tập trung vào việc thu lợi tài chính lớn cho chế độ.
  • Void Dokkaebi: Nhóm này được biết đến với việc đánh cắp tiền điện tử từ các nhà phát triển Web3 thông qua việc lợi dụng các gói npm độc hại. Việc nhắm mục tiêu vào chuỗi cung ứng phần mềm cho phép chúng tiếp cận rộng rãi hơn vào hệ sinh thái phát triển.

Nền Tảng và Cơ Sở Hạ Tầng Bị Lợi Dụng

Các nhóm tin tặc đã thể hiện sự tinh vi trong việc tận dụng các nền tảng và dịch vụ hợp pháp, biến chúng thành công cụ cho các hoạt động độc hại của mình:

  • Kho lưu trữ GitHub và Mã thông báo truy cập cá nhân (PATs): Tin tặc Triều Tiên đã sử dụng các kho lưu trữ GitHub để lưu trữ các payload mã độc một cách bí mật trong các kho lưu trữ cơ sở hạ tầng đám mây hợp pháp. Phương pháp này giúp chúng né tránh các cơ chế phát hiện thông thường trong một chiến dịch gián điệp vào tháng 3 năm 2025. Việc lạm dụng PATs cho phép chúng có quyền truy cập bền vững và bí mật vào các tài nguyên của GitHub.
  • Các trang web tuyển dụng giả mạo sử dụng React Framework: Các tin tặc đã giả mạo các công ty tiền điện tử hàng đầu như Coinbase, Robinhood, và Uniswap. Các trang này thường bao gồm các trang đánh giá kỹ năng được thiết kế để bắt chước giao diện công ty thực, tạo cảm giác hợp pháp và đáng tin cậy cho nạn nhân.
  • Kho gói npm độc hại (web3-wrapper-ethers):

    Gói này giả mạo thư viện ethers phổ biến nhưng chứa mã bị che giấu được thiết kế để đánh cắp khóa riêng tư. Sự tinh vi của cuộc tấn công chuỗi cung ứng này thể hiện qua các chi tiết sau:

    • Gói được phát hành vào ngày 5 tháng 6 với năm phiên bản chỉ trong một ngày, cho thấy nỗ lực nhanh chóng để phân phối.
    • Thông tin tác giả được cung cấp là:
      Author: kaufman0913
Email: [email protected]
    • Trường kho lưu trữ được sao chép từ dự án ethers.js GitHub chính thức nhưng đã được sửa đổi một chút, đủ để đánh lừa các nhà phát triển không kiểm tra kỹ lưỡng.

Họ Mã Độc và Công Cụ

Để đạt được mục tiêu, các tác nhân đe dọa đã sử dụng các biến thể mã độc được thiết kế riêng biệt cho các chiến dịch của chúng:

PylangGhost Malware

Đây là một biến thể mã độc dựa trên Python, có nguồn gốc từ GolangGhost trojan. Mã độc này được phân phối thông qua hình thức lừa đảo (phishing) dưới vỏ bọc các cuộc phỏng vấn xin việc giả mạo trong lĩnh vực tiền điện tử, nhắm vào các chuyên gia blockchain. Nạn nhân bị lừa cài đặt “trình điều khiển video” bằng cách sao chép các lệnh terminal như một phần của yêu cầu giới thiệu video trong quá trình tuyển dụng gian lận. Điều này cho phép kẻ tấn công thiết lập quyền truy cập ban đầu vào hệ thống của nạn nhân.

GolangGhost Trojan (Tiền thân)

GolangGhost trojan được đề cập là biến thể tiền thân có liên quan đến PylangGhost, đã được sử dụng trong các chiến dịch tương tự nhắm vào nhân sự ngành tiền điện tử. Điều này cho thấy sự tiến hóa và cải tiến liên tục trong các công cụ mã độc của các nhóm tấn công.

Chiến Thuật, Kỹ Thuật và Quy Trình (TTPs)

Các chiến dịch này kết hợp nhiều TTPs tinh vi, thường được tích hợp theo các mô hình MITRE ATT&CK:

Kỹ thuật xã hội

Sử dụng các trò lừa đảo tuyển dụng giả mạo với hồ sơ do AI tạo và các cuộc phỏng vấn deepfake. Kẻ tấn công giả mạo các nhà đầu tư mạo hiểm, nhà tuyển dụng hoặc nhân viên IT làm việc từ xa để có quyền truy cập ban đầu hoặc cho mục đích trích xuất dữ liệu. Mức độ chi tiết của các cuộc phỏng vấn giả mạo này, bao gồm cả việc yêu cầu cài đặt “trình điều khiển video”, cho thấy một mức độ tin cậy được thiết lập chặt chẽ với nạn nhân.

Tấn công chuỗi cung ứng

Kẻ tấn công phát hành các gói npm độc hại (như web3-wrapper-ethers) bắt chước các thư viện hợp pháp. Mục tiêu chính là đánh cắp khóa riêng tư từ các nhà phát triển Web3. Đây là một kỹ thuật đặc biệt nguy hiểm vì nó lợi dụng sự tin cậy vào các nguồn tài nguyên phát triển phần mềm mã nguồn mở.

Lạm dụng cơ sở hạ tầng đám mây

Lưu trữ mã độc trên các kho lưu trữ GitHub bằng cách sử dụng PAT để phân phối bí mật trong các chiến dịch gián điệp. Việc tận dụng các nền tảng đáng tin cậy cho mục đích Command-and-Control (C2) hoặc lưu trữ payload giúp kẻ tấn công khó bị phát hiện hơn và có thể hoạt động trong một thời gian dài.

Lừa đảo (Phishing) và Công cụ truy cập từ xa (Remote Access Tools)

Phân phối trojan truy cập từ xa dựa trên Python được ngụy trang thành trình điều khiển video, được cài đặt thông qua các lệnh terminal sau khi nạn nhân bị lừa đảo thông qua các quy trình phỏng vấn giả mạo. Kỹ thuật này đặc biệt hiệu quả vì nó sử dụng niềm tin và sự tuân thủ của nạn nhân trong một bối cảnh chuyên nghiệp.

Ví Dụ Lệnh Dòng Lệnh

Trong quá trình lừa đảo, nạn nhân được hướng dẫn cài đặt “trình điều khiển video” bằng cách sao chép và dán các lệnh vào terminal của họ. Mặc dù các lệnh cụ thể không được tiết lộ, nhưng chúng đóng vai trò là một phần quan trọng của vector lây nhiễm, cho phép cài đặt quyền truy cập từ xa sau các bước kỹ thuật xã hội ban đầu.

Các Sự Cố Đáng Chú Ý và Chi Tiết Chiến Dịch

Quy mô trộm cắp tiền điện tử

Kể từ ít nhất năm 2017, ước tính đã có hơn 1,5 tỷ USD tiền điện tử bị đánh cắp có liên quan đến các nhóm Triều Tiên, bao gồm vụ hack Ronin/Axie Infinity trị giá 620 triệu USD của Lazarus. Đây là một con số khổng lồ, nhấn mạnh tầm quan trọng của các hoạt động trộm cắp tiền điện tử đối với Triều Tiên.

Chỉ riêng trong năm 2024, đã có 1,34 tỷ USD bị rút ruột qua 47 vụ hack, chiếm khoảng 61% tổng số tiền điện tử bị đánh cắp. Điều này cho thấy sự gia tăng đáng kể về quy mô và tần suất của các vụ tấn công.

Các vụ vi phạm nổi bật gần đây bao gồm:

  • Vụ vi phạm 305 triệu USD tại DMM Bitcoin của Nhật Bản, được khởi xướng thông qua lừa đảo giả danh nhà tuyển dụng LinkedIn đề nghị các bài kiểm tra mã hóa.
  • Vào tháng 2 năm 2025, Lazarus được cho là đã thực hiện vụ khai thác Bybit kỷ lục trị giá 1,5 tỷ USD, rửa hơn 100.000 ETH một cách nhanh chóng thông qua mạng THORChain.

Các Chỉ Số Thỏa Hiệp (IOCs)

Các IOCs sau đây là dấu hiệu của các hoạt động độc hại được mô tả:

Gói NPM độc hại web3-wrapper-ethers

Package Name: web3-wrapper-ethers
Author: kaufman0913
Email: [email protected]
Release Date: June 5th, ~12:45 AM GMT+0 
Versions Released Within One Day: Five versions 
Repository Field Points To Official ethers.js Project But Modified Slightly 
Purpose/Behavioral Trait: Obfuscated code designed to steal private keys

Các trang web tuyển dụng giả mạo nhắm vào chuyên gia tiền điện tử

Các công ty tiền điện tử uy tín bị giả mạo bao gồm:

  • Coinbase
  • Robinhood
  • Uniswap
  • Và các công ty tiền điện tử uy tín khác không được chỉ định, được bắt chước bằng các trang web dựa trên React framework.

Các tác nhân đe dọa Triều Tiên tiếp tục phát triển các hoạt động mạng của mình chống lại hệ sinh thái tiền điện tử bằng cách vũ khí hóa các nền tảng đáng tin cậy như kho lưu trữ GitHub, kết hợp với kỹ thuật xã hội tinh vi liên quan đến các nhân vật do AI tạo và các cuộc phỏng vấn deepfake. Chúng triển khai các biến thể mới như PylangGhost trojan, được phân phối dưới vỏ bọc cài đặt trình điều khiển video sau các quy trình phỏng vấn giả mạo phức tạp nhắm vào các chuyên gia blockchain. Ngoài ra, chúng còn tiến hành các cuộc tấn công chuỗi cung ứng thông qua các gói npm độc hại giả mạo các thư viện được sử dụng rộng rãi (như web3-wrapper-ethers) nhằm đánh cắp khóa riêng tư của nhà phát triển, vốn rất quan trọng đối với bảo mật Web3.

Các hoạt động này tận dụng các kỹ thuật MITRE ATT&CK như lừa đảo có mục tiêu qua dịch vụ (T1566), thỏa hiệp chuỗi cung ứng (T1195), sử dụng dịch vụ đám mây để liên lạc/lưu trữ C2 (T1078), và các chiến thuật đánh cắp/trích xuất thông tin xác thực được nhúng trong các chuỗi tấn công đa giai đoạn này.

Thông tin tình báo này rất quan trọng đối với các nhóm SOCTIP đang giám sát các mối đe dọa chống lại môi trường phát triển phần mềm, đặc biệt là những môi trường liên quan đến công nghệ blockchain/Web3, nơi các ranh giới tin cậy thường bị làm mờ do các phụ thuộc mã nguồn mở được lưu trữ trên các kho lưu trữ công khai như GitHub.