Tin tức bảo mật mới cho thấy một chiến dịch đang nhắm vào lập trình viên thông qua phỏng vấn việc làm giả và bài kiểm tra code được cài sẵn mã độc. Kẻ tấn công dựng hồ sơ tuyển dụng, gửi “take-home coding assessment”, rồi lợi dụng chính môi trường phát triển để kích hoạt mối đe dọa mạng và đánh cắp tài sản số.
Chiến dịch lừa cài mã độc qua bài test lập trình
Nhóm theo dõi bởi Expel với tên HexagonalRodent sử dụng mô hình tiếp cận quen thuộc: giả làm nhà tuyển dụng, liên hệ qua LinkedIn hoặc đăng tin tuyển dụng giả trên các cổng việc làm. Khi mục tiêu quan tâm, họ gửi một bài kiểm tra kỹ thuật tưởng như hợp lệ nhưng chứa mã độc ẩn trong file nguồn và cấu hình dự án.
Chiến dịch này tập trung vào Web3 developers nhằm chiếm đoạt cryptocurrency và NFT. Chỉ trong ba tháng, nhóm đã exfiltrate 26.584 ví tiền mã hóa từ 2.726 hệ thống lập trình viên bị nhiễm, với public key của các ví chứa tới 12 triệu USD tài sản số bị lộ.
Cách thức khai thác trong lỗ hổng CVE của quy trình làm việc
Đây không phải là một lỗ hổng CVE theo nghĩa truyền thống, nhưng là một cảnh báo CVE về rủi ro trong chuỗi làm việc của lập trình viên: tin vào file dự án, chạy mã mẫu và mở thư mục bằng IDE mà không kiểm tra cấu hình. Điểm đáng chú ý là nhóm lợi dụng tính năng của VSCode để biến thao tác mở thư mục thành cơ chế thực thi tự động.
File tasks.json độc hại được nhúng vào dự án kiểm tra code. VSCode có thể chạy tác vụ tự động khi có sự kiện nhất định trong editor, và kẻ tấn công cấu hình runOn: “folderOpen” để mã độc chạy ngay khi nạn nhân chỉ cần mở thư mục dự án.
Cơ chế thực thi tự động trên VSCode
{
"version": "2.0.0",
"tasks": [
{
"label": "build",
"type": "shell",
"command": "node index.js",
"runOptions": {
"runOn": "folderOpen"
}
}
]
}Ngoài đường dẫn qua VSCode, mã nguồn trong bài test cũng chứa các hàm ẩn độc hại để kích hoạt khi lập trình viên chạy ứng dụng theo cách thông thường. Cách làm này giúp mở rộng phạm vi lây nhiễm cho cả người không dùng VSCode hoặc đã vô hiệu hóa tác vụ tự động.
Chuỗi mã độc và khả năng xâm nhập mạng
Sau khi xâm nhập thành công, BeaverTail bắt đầu thu thập thông tin xác thực từ trình duyệt web, macOS Keychain, Linux Keyring và các password manager như 1Password. Đây là bước đầu tiên để chiếm quyền truy cập hợp lệ và mở rộng xâm nhập mạng.
Thành phần thứ hai, OtterCookie, hoạt động như một reverse shell, cung cấp quyền điều khiển từ xa cho kẻ tấn công. Thành phần thứ ba, InvisibleFerret, cũng được viết bằng Python và thực hiện vai trò tương tự. Phân tích từ các bảng điều khiển C2 cho thấy BeaverTail phụ trách đánh cắp thông tin, còn OtterCookie duy trì khả năng truy cập hệ thống bị xâm nhập.
Các thành phần chính
- BeaverTail: đánh cắp credential từ browser, Keychain, Keyring, 1Password.
- OtterCookie: reverse shell, hỗ trợ truy cập và điều khiển từ xa.
- InvisibleFerret: reverse shell viết bằng Python.
Ứng dụng AI để hỗ trợ tấn công mạng
Điểm khác biệt của chiến dịch là việc dùng công cụ tạo sinh để sản xuất nội dung phục vụ tấn công mạng. Kẻ tấn công dùng ChatGPT và Cursor để viết mã độc, dựng website công ty giả, và tạo đội ngũ lãnh đạo hư cấu nhằm tăng độ tin cậy cho hồ sơ tuyển dụng.
Phân tích của Expel cho thấy chiến dịch được phát hiện sau một ca nhiễm BeaverTail trên mạng của khách hàng vào tháng 10/2025. Từ đó, nhóm nghiên cứu lần ra hệ thống C2, hạ tầng điều khiển và cơ chế theo dõi nội bộ được dùng cho chiến dịch này. Tham khảo thêm báo cáo gốc của Expel tại: Expel: Inside Lazarus.
Supply chain attack qua tiện ích VSCode
Chiến dịch còn mở rộng sang supply chain attack khi một extension phổ biến của VSCode có tên fast-draft bị xâm nhập và dùng để phát tán OtterCookie. Đây là lần đầu tiên nhóm này được xác nhận thực hiện kiểu tấn công chuỗi cung ứng, cho thấy phạm vi hoạt động đã vượt khỏi mô hình gửi bài test độc hại thông thường.
Kết hợp giữa dự án kiểm tra code, file cấu hình tasks.json và extension bị can thiệp, chiến dịch tạo ra nhiều đường thực thi song song. Điều này làm tăng xác suất nhiễm trên cả hệ thống cá nhân lẫn máy làm việc của lập trình viên.
Những điểm cần theo dõi trong threat intelligence
Trong bối cảnh threat intelligence về các chiến dịch nhắm vào lập trình viên, nhóm này nổi bật ở ba đặc điểm: dùng file cấu hình để kích hoạt tự động, cài mã ẩn trong source code, và triển khai bộ công cụ malware theo mô-đun. Cách tiếp cận này giúp chúng tận dụng hành vi làm việc tiêu chuẩn của developer để tạo ra nguy cơ bảo mật cao.
Các hệ thống cần chú ý đặc biệt khi xử lý bài test từ nguồn không xác thực, nhất là với dự án chứa tasks.json, script tự chạy, hoặc extension đi kèm. Bất kỳ dấu hiệu nào của credential theft, reverse shell, hay C2 bất thường đều là chỉ báo cần kiểm tra ngay.
Chỉ báo kỹ thuật đáng chú ý
- BeaverTail xuất hiện trong hệ thống làm việc của developer.
- OtterCookie hoặc InvisibleFerret hoạt động như reverse shell.
- File tasks.json chứa runOn: folderOpen.
- Project test có script hoặc hàm ẩn thực thi tự động.
- Extension VSCode bất thường hoặc thay đổi ngoài dự kiến.
Để đối chiếu thông tin kỹ thuật và theo dõi tin tức an ninh mạng liên quan, có thể tham khảo cơ sở dữ liệu lỗ hổng của NVD tại: NVD – National Vulnerability Database.
IOC:
- BeaverTail
- OtterCookie
- InvisibleFerret
- fast-draft (VSCode extension bị xâm nhập)
- tasks.json với runOn: folderOpen
