Triều Tiên tấn công “thầm lặng”: Lỗ hổng phần mềm mã nguồn mở “đe dọa” ví tiền điện tử

Các nhà nghiên cứu vừa phát hiện một chiến dịch tấn công mạng tinh vi từ Triều Tiên, nhằm “lén lút” cài đặt phần mềm độc hại đánh cắp tiền điện tử vào các phần mềm mã nguồn mở.

“Chiến dịch Marstech Mayhem”: Mối đe dọa “ẩn” từ Triều Tiên

Trong một bài đăng trên blog vào thứ Năm (13/2), các nhà phân tích STRIKE của SecurityScorecard cho biết nhóm tin tặc Lazarus của Triều Tiên đang phát tán mã độc “không thể phát hiện” thông qua các gói GitHub và NPM trong “Chiến dịch Marstech Mayhem”. Nhóm này cũng cảnh báo trên X: “Các nhà phát triển đang vô tình kéo các kho lưu trữ bị nhiễm độc vào dự án của mình, gây nguy hiểm cho ví tiền điện tử và chuỗi cung ứng phần mềm.”

STRIKE phát hiện ra rằng nhóm này đã phát triển một công cụ tấn công mới có tên mã “marstech1”. Họ cho biết: “Công cụ tiên tiến này đánh dấu một bước phát triển đáng kể so với các phiên bản trước đây, với những cải tiến về chức năng giúp nó trở nên “độc nhất vô nhị”.”

Nhắm mục tiêu vào nhà phát triển tiền điện tử

Theo các nhà nghiên cứu an ninh mạng, tài khoản SuccessFriend trên GitHub có liên quan đến nhóm Lazarus đã “tiêm” mã độc JavaScript vào các kho lưu trữ, “trá trộn” với mã hợp pháp. Để “qua mặt” người dùng, tài khoản này còn đăng tải cả mã “vô hại”, khiến việc phát hiện mã độc trở nên khó khăn hơn.

Mã độc JavaScript này nhắm mục tiêu vào các ví tiền điện tử Exodus và Atomic trên Linux, macOS và Windows. Sau khi được cài đặt, tin tặc sẽ quét hệ thống để tìm ví tiền điện tử, đọc nội dung tệp hoặc “đánh cắp” siêu dữ liệu để chiếm đoạt thông tin nhạy cảm.

Hàng trăm nạn nhân bị ảnh hưởng

Cho đến nay, STRIKE đã xác nhận có 233 nạn nhân tại Mỹ, châu Âu và châu Á. Ryan Sherstobitoff, Phó chủ tịch Nghiên cứu Mối đe dọa của SecurityScorecard, cho biết: “Việc sử dụng marstech1 với nhiều lớp “ngụy trang” tinh vi cho thấy cách tiếp cận phức tạp của tin tặc nhằm tránh bị phát hiện.”

FBI cảnh báo về hoạt động của nhóm Lazarus

Vào tháng 9 năm ngoái, FBI đã phát đi cảnh báo về việc Triều Tiên đang tích cực tấn công các doanh nghiệp tiền điện tử để “kiếm chác” tiền cho các hoạt động quốc gia, bao gồm cả phát triển tên lửa và vũ khí hạt nhân.

Kêu gọi nâng cao cảnh giác

Sherstobitoff nhấn mạnh tầm quan trọng của việc nâng cao cảnh giác và kêu gọi các tổ chức và nhà phát triển áp dụng các biện pháp an ninh chủ động. Ông cho biết các tổ chức cần phải “liên tục theo dõi hoạt động của chuỗi cung ứng và tích hợp các giải pháp phân tích mối đe dọa tiên tiến để giảm thiểu rủi ro”.

Chiến dịch tấn công mạng mới của Triều Tiên là một mối đe dọa nghiêm trọng đối với cộng đồng tiền điện tử và các nhà phát triển phần mềm mã nguồn mở. Việc nâng cao cảnh giác và áp dụng các biện pháp bảo mật là rất quan trọng để bảo vệ tài sản kỹ thuật số và duy trì sự an toàn cho chuỗi cung ứng phần mềm.