Back to top
  • 공유 Chia sẻ
  • 인쇄 In
  • 글자크기 Cỡ chữ
URL đã được sao chép

Mã độc OkoBot mở màn làn sóng tấn công mới nhắm vào nhà đầu tư và lập trình viên Web3

Mã độc OkoBot mở màn làn sóng tấn công mới nhắm vào nhà đầu tư và lập trình viên Web3 / Tokenpost

Theo Kaspersky công bố trong báo cáo ngày 17 (giờ địa phương), hãng bảo mật này vừa phát hiện một khung mã độc mới mang tên “OkoBot” chuyên nhắm vào nhà đầu tư *tiền mã hóa*. Mã độc này được thiết kế để đánh cắp *ví tiền mã hóa*, dữ liệu trình duyệt, thông tin đăng nhập và cuối cùng là chiếm quyền điều khiển từ xa để rút sạch tài sản kỹ thuật số của nạn nhân.

Kaspersky cho biết OkoBot khởi đầu lây nhiễm thông qua các chiến dịch *tấn công xã hội* như “ClickFix” hoặc các ứng dụng GitHub bị chỉnh sửa cài mã độc. Nạn nhân được dụ dỗ tự chạy lệnh, tải về hoặc mở bộ cài tưởng như là công cụ hợp pháp. Kaspersky ghi nhận hàng loạt cuộc tấn công liên quan tới dòng mã độc này kể từ tháng 1 năm nay.

Khi xâm nhập thành công, OkoBot sẽ rà soát thiết bị để tìm các tệp liên quan đến *ví tiền mã hóa*, dữ liệu trình duyệt, thông tin đăng nhập tài khoản và có thể cài thêm tiện ích độc hại vào trình duyệt. Khung mã độc này còn hỗ trợ chụp màn hình cửa sổ ứng dụng ví, từ đó trích xuất khóa riêng, cụm từ khôi phục hoặc các dữ liệu nhạy cảm khác.

Theo phân tích của Kaspersky, OkoBot là phiên bản phát triển từ chiến dịch “TookPS” được phát hiện lần đầu năm 2025, nhưng đã tinh vi và có tổ chức hơn. Thay vì chỉ dùng các trang web phần mềm giả mạo, OkoBot chuyển sang lợi dụng nhiều kênh phân phối và mồi nhử khác nhau, khó bị người dùng lẫn hệ thống bảo mật phát hiện.

Một đặc điểm đáng chú ý là toàn bộ 20 payload độc hại trong chiến dịch này đều được điều khiển thông qua *đường hầm SSH* (SSH tunnel). Cách làm này giúp dữ liệu bị đánh cắp từ máy tính nạn nhân được chuyển tiếp vòng qua một thiết bị trung gian mà kẻ tấn công kiểm soát, khiến việc giám sát lưu lượng và phát hiện bất thường khó khăn hơn nhiều.

*bình luận*: Việc chuẩn hóa hạ tầng điều khiển bằng SSH tunnel cho thấy nhóm tấn công đang hướng tới mô hình “sản phẩm hóa” mã độc, dễ tái sử dụng và sao chép cho các chiến dịch tương tự khác, làm tăng rủi ro bùng phát các đợt tấn công quy mô lớn vào hệ sinh thái *tiền mã hóa*.

Trong khi nhà đầu tư *tiền mã hóa* bị truy lùng bởi các công cụ như OkoBot, giới phát triển Web3 cũng đang trở thành mục tiêu của một làn sóng tấn công mới. Theo công ty bảo mật blockchain SlowMist đưa tin ngày 16 (giờ địa phương), nhiều lập trình viên Web3 bị nhắm tới bởi các chiến dịch lừa đảo tuyển dụng giả mạo trên LinkedIn.

Cụ thể, kẻ tấn công đóng vai “nhà tuyển dụng Web3”, chủ động liên hệ với lập trình viên, mời ứng tuyển vào các dự án blockchain có vẻ uy tín. Sau vài vòng trao đổi, chúng gửi một kho GitHub “bài test kỹ thuật” và yêu cầu ứng viên:

- Tải mã nguồn về

- Cài đặt các gói phụ thuộc

- Chạy dự án để hoàn thành bài kiểm tra

Quy trình mô phỏng đúng phong cách phỏng vấn kỹ thuật thông thường nên rất khó gây nghi ngờ. Tuy nhiên, trong quá trình đó, mã độc được kích hoạt như một *trojan truy cập từ xa* (RAT), tìm cách truy xuất:

- Khóa dự án, token truy cập các dịch vụ Web3

- Thông tin đăng nhập nền tảng đám mây

- Dữ liệu từ các tiện ích ví tiền mã hóa trên trình duyệt

SlowMist nhấn mạnh: “Đây không phải là vụ việc đơn lẻ. Các ngữ cảnh làm việc bình thường như tuyển dụng, review code hay cộng tác dự án đang bị lợi dụng ngày càng nhiều”. Hãng bảo mật cũng cảnh báo thêm về một chiến dịch riêng nhắm vào người dùng macOS, cho thấy bề mặt tấn công đã mở rộng từ nhà đầu tư sang cả chuỗi giá trị phát triển, triển khai hạ tầng Web3.

*bình luận*: Khi thị trường *tiền mã hóa* hồi phục và thanh khoản dần quay lại, tội phạm mạng đang chuyển chiến lược, từ việc tấn công trực tiếp vào *ví* sang tấn công vào *con người* – những mắt xích dễ bị thao túng qua email, mạng xã hội, nền tảng tuyển dụng hay kho mã nguồn mở. Với các dự án Web3, điều này đồng nghĩa bảo mật nhân sự, quy trình tuyển dụng và kiểm soát môi trường phát triển đang trở thành yếu tố then chốt trong việc bảo vệ tài sản on-chain.

Trong bối cảnh đó, chuyên gia bảo mật khuyến nghị nhà đầu tư và lập trình viên *tiền mã hóa* cần:

- Tuyệt đối không cài đặt công cụ, extension, bộ cài từ các đường dẫn không thể xác minh

- Luôn tách bạch môi trường làm việc (máy phát triển, máy test) với máy lưu trữ ví chính

- Sử dụng *ví lạnh* cho tài sản lớn, hạn chế để số dư lớn trên ví trình duyệt hoặc ví trên máy tính cá nhân

- Thiết lập cơ chế xác thực đa lớp cho mọi tài khoản liên quan tới *tiền mã hóa* và hạ tầng đám mây

Nếu xu hướng hiện tại tiếp diễn, phòng tuyến quan trọng nhất bảo vệ thị trường *tiền mã hóa* sẽ không chỉ là công nghệ mã hóa hay hợp đồng thông minh, mà là mức độ cảnh giác và kỷ luật bảo mật của chính nhà đầu tư và đội ngũ phát triển.

<Bản quyền ⓒ TokenPost, nghiêm cấm sao chép và phân phối trái phép>

Phổ biến nhất

Các bài viết liên quan khác

Bình luận 0

Mẹo bình luận

Bài viết tuyệt vời. Mong có bài tiếp theo. Phân tích xuất sắc.

0/1000

Mẹo bình luận

Bài viết tuyệt vời. Mong có bài tiếp theo. Phân tích xuất sắc.
1