News

Hacker Triều Tiên lập 3 công ty ma để lừa đảo lập trình viên crypto

Steven

3 min read
Hacker Triều Tiên lập 3 công ty ma để lừa đảo lập trình viên crypto

Một chiến dịch tấn công tinh vi do nhóm hacker Triều Tiên đứng sau đang nhắm vào các nhà phát triển trong ngành tiền mã hóa, sử dụng danh nghĩa tuyển dụng giả để cài mã độc đánh cắp ví và dữ liệu nhạy cảm.

3 công ty vỏ bọc – 2 trong số đó đặt tại Mỹ

Theo báo cáo mới nhất từ nhóm phân tích Silent Push công bố ngày 24/4, một nhóm con của tổ chức hacker Lazarus có liên hệ với Triều Tiên – tên là Contagious Interview – đã lập ra ba công ty ma gồm BlockNovas, Angeloper Agency và SoftGlide.

Trong số này, hai công ty đã được đăng ký hợp pháp tại Hoa Kỳ, khiến hoạt động của chúng khó bị nghi ngờ.

Chiêu trò: phỏng vấn giả – cài mã độc tinh vi

Chiến thuật chính là giả mạo các công ty tư vấn blockchain và đăng tuyển trên các trang việc làm/freelance. Khi ứng viên crypto nộp đơn, họ sẽ được mời ghi hình phần giới thiệu bản thân. Tuy nhiên, một lỗi kỹ thuật giả sẽ hiện ra, hướng dẫn họ copy-paste một đoạn mã để “sửa lỗi”. Đó chính là lúc mã độc được cài vào hệ thống.

Các mã độc được sử dụng gồm:

  • BeaverTail: Đánh cắp thông tin, làm bàn đạp tải mã độc giai đoạn sau
  • InvisibleFerret & OtterCookie: Nhắm vào ví crypto, dữ liệu clipboard và key lưu trữ riêng tư

Ảnh giả – nhân viên giả – AI thật

Đáng chú ý, nhóm hacker sử dụng AI để tạo ra hình ảnh nhân viên giả trên website công ty, hoặc lấy hình ảnh người thật và biến đổi bằng công cụ AI để tạo thành phiên bản "khó nhận biết".

Zach Edwards, chuyên gia phân tích cấp cao tại Silent Push, chia sẻ:

“Chúng tôi phát hiện nhiều ảnh giả mạo và ảnh ăn cắp từ người thật được chỉnh sửa lại bằng AI. Chiến dịch này cho thấy mức độ đầu tư nghiêm túc vào việc mạo danh và tạo dựng độ tin cậy.”

Đã có nạn nhân – FBI vào cuộc

Chiến dịch đã được triển khai từ năm 2024 và ít nhất hai lập trình viên bị nhắm đến, trong đó có một người đã bị xâm nhập ví MetaMask.

Cục Điều tra Liên bang Mỹ (FBI) đã thu hồi tên miền của công ty BlockNovas, nhưng SoftGlide vẫn đang hoạt động, cùng với một số hạ tầng khác.

Trước đó, vào tháng 3, ba nhà sáng lập dự án crypto cũng báo cáo đã thoát khỏi một cuộc tấn công tương tự từ các hacker Triều Tiên – lần này thông qua cuộc gọi Zoom giả mạo.

Lazarus – cái tên quen thuộc trong các vụ trộm tỷ đô Web3

Nhóm Lazarus và các nhánh của nó đã nhiều lần bị nghi ngờ đứng sau những vụ tấn công lớn nhất trong ngành:

  • Vụ hack Ronin Network (Axie Infinity): 600 triệu USD
  • Vụ lừa đảo qua sàn giả mạo Bybit: 1,4 tỷ USD

Cảnh báo cho cộng đồng crypto

Vụ việc là lời cảnh tỉnh rõ ràng rằng: một cuộc phỏng vấn giả có thể là cửa ngõ cho thảm họa bảo mật.

Người làm việc trong ngành crypto, đặc biệt là devs và founders, cần:

  • Cảnh giác với lời mời phỏng vấn từ công ty không rõ ràng
  • Tránh tải hoặc làm theo hướng dẫn kỹ thuật lạ trong lúc phỏng vấn
  • Kiểm tra kỹ domain công ty, lịch sử, và profile nhân viên
  • Dùng thiết bị sandbox nếu buộc phải mở file đáng ngờ
  • Không bao giờ nhập private key hoặc seed phrase trên máy tính làm việc

Thế giới Web3 đang phát triển, nhưng các mối đe dọa cũng tinh vi hơn bao giờ hết. Bảo mật không chỉ là kỹ thuật – mà còn là kỹ năng sinh tồn.

Read more

## The below codes work for latest Ghost default theme source - v1.2.3