Tin tặc khai thác lỗ hổng XWiki và DELMIA Apriso để đào Monero(XMR) trái phép

Các chuyên gia bảo mật vừa công bố một loạt cuộc tấn công mạng có chủ đích, trong đó tin tặc đã lợi dụng lỗ hổng trên nền tảng mã nguồn mở XWiki và phần mềm công nghiệp DELMIA Apriso để âm thầm khai thác tiền mã hóa Monero (XMR). Hình thức tấn công này được xác định là một ví dụ điển hình của hiện tượng “từ”cryptojacking“từ”, khi hacker sử dụng tài nguyên máy tính của người khác để khai thác tiền mã hóa mà không được cho phép.

Theo công ty phân tích bảo mật VulnCheck cho biết ngày 24 (giờ địa phương), lỗ hổng nghiêm trọng mang mã CVE-2025-24893 được xác định trong hệ thống “template” của XWiki đã cho phép các đối tượng tấn công thực thi mã độc từ xa. Quá trình khai thác khá đơn giản: đầu tiên, tin tặc lén tải một file nhỏ có tên x640 vào hệ thống mục tiêu, sau đó gửi lệnh kích hoạt tệp này để tiếp tục tải về hai đoạn mã khác, x521 và x522. Cuối cùng, các đoạn mã trên sẽ cài đặt và vận hành công cụ khai thác Monero có tên “tcrond” mà không cần sự đồng ý của người dùng.

“Bình luận”: Điểm đáng chú ý là tcrond thậm chí còn có khả năng tự động tắt các công cụ đào tiền mã hóa khác đang hoạt động trên máy tính, cho thấy ý đồ của hacker muốn chiếm riêng toàn bộ tài nguyên tính toán để “từ”đào Monero“từ”.

Số lượng Monero khai thác được sau đó được chuyển đến ví của kẻ tấn công thông qua c3pool.org – một nhóm đào tiền mã hóa có mức độ ẩn danh cao, thường được giới tội phạm mạng sử dụng để che giấu dấu vết và tránh bị truy vết. Đây không phải lần đầu nơi này bị phát hiện liên quan đến các vụ “từ”cryptojacking“từ”.

Cơ quan An ninh Mạng và Cơ sở Hạ tầng Hoa Kỳ (CISA) cũng đã đưa ra cảnh báo chính thức về vụ việc. Đặc biệt, các phân tích cho thấy phần mềm tự động hóa công nghiệp DELMIA Apriso cũng tồn tại lỗ hổng tương tự, làm dấy lên lo ngại những doanh nghiệp sử dụng hệ thống này có thể bị ảnh hưởng trực tiếp nếu không được cập nhật kịp thời.

Các chuyên gia an ninh mạng khuyến cáo người quản trị hệ thống nên chủ động: chặn kết nối đến IP liên quan đến trang c3pool.org, giám sát kỹ lưỡng các hoạt động bất thường trong mạng nội bộ, và ngay lập tức xóa bỏ bất kỳ tệp nào có liên quan đến “từ”tcrond“từ”.

“Bình luận”: Monero(XMR) từ lâu đã được xem là tiền mã hóa ưa thích của giới tội phạm mạng nhờ khả năng ẩn danh cao và khó bị truy vết giao dịch. Vụ việc lần này là lời nhắc mạnh mẽ về việc quản trị hệ thống mã nguồn mở cần phải được thực hiện nghiêm túc, đồng thời yêu cầu các doanh nghiệp củng cố các biện pháp giám sát và bảo vệ an ninh mạng.

Tóm lại, việc khai thác trái phép “từ”Monero(XMR)“từ” thông qua các nền tảng như XWiki và DELMIA Apriso cho thấy mức độ tinh vi ngày càng tăng của các tội phạm mạng, cũng như sự cấp thiết trong cập nhật hệ thống và tăng cường cảnh báo sớm. Các đơn vị sử dụng mã nguồn mở nên luôn đề cao cảnh giác trước những lỗ hổng tiềm ẩn.