Hacker Bắc Triều Tiên tấn công macOS, nhắm vào startup Web3 bằng mã độc NimDoor

Bắc Triều Tiên đẩy mạnh chiến dịch tấn công macOS nhằm vào ngành Web3, cảnh báo mới về vấn đề an ninh mạng

Một chiến dịch tấn công mạng tinh vi nhắm vào hệ điều hành macOS của Apple đang khiến cộng đồng Web3 đặt lại vấn đề về an ninh thông tin, đặc biệt là các startup trong lĩnh vực công nghệ blockchain. Theo công bố từ nhóm nghiên cứu SentinelLabs thuộc công ty an ninh mạng SentinelOne ngày 24 (giờ địa phương), các hacker được cho là đến từ Bắc Triều Tiên đã sử dụng mã độc có tên “NimDoor” để xâm nhập vào thiết bị người dùng thông qua hình thức giả mạo cập nhật Zoom.

SentinelLabs cho biết chiến dịch này nhắm trực tiếp đến các nhà phát triển và nhân viên trong lĩnh vực Web3, nhất là tại các startup. Hacker đã dùng “Nim” — một ngôn ngữ lập trình ít phổ biến — để xây dựng cơ chế tấn công nhiều lớp, từ khâu phát tán mã độc qua email cho đến kiểm soát hệ thống. Người dùng bị lừa click vào một đường dẫn cập nhật giả cho ứng dụng Zoom, từ đó đồng thời kích hoạt cả mã độc thu thập dữ liệu và kiểm soát truy cập duy trì lâu dài. **Dữ liệu hệ thống** như thông tin trình duyệt, ứng dụng Telegram, cùng các file quan trọng sau đó bị gửi về **máy chủ của hacker**.

Một điểm đặc biệt đáng chú ý trong chiến dịch này là sự “ngụy trang” tinh vi. Hacker sử dụng nền tảng đặt lịch trực tuyến Calendly để lên lịch hẹn, kết hợp với đường link Zoom chính thống nhằm gây cảm giác tin tưởng cho nạn nhân. Với cơ chế này, mã độc có thể dễ dàng vượt qua các lớp bảo vệ thông thường, khiến các công cụ bảo mật phổ biến khó phát hiện kịp thời. Các công ty bảo mật như Huntress và Huntabil.IT đã xác nhận sự xuất hiện của nhiều trường hợp bị ảnh hưởng theo phương thức tương tự.

Song song với đó, nhà phân tích độc lập chuyên theo dõi dòng tiền tiền mã hóa — ZachXBT — đã đưa ra các bằng chứng cho thấy mối liên hệ giữa nhóm hacker và dòng tiền nghi vấn từ các tổ chức Bắc Triều Tiên. Theo điều tra của ZachXBT công bố từ tháng 1 năm 2024, tám lập trình viên được cho là đến từ Bắc Triều Tiên, làm việc tại 12 công ty khác nhau, đã nhận tổng cộng khoảng 2,76 triệu USD (tương đương 38,36 tỷ đồng) bằng đồng USDC. Trong số đó, một số địa chỉ ví có liên hệ với danh sách đen do Tether công bố hồi năm 2023 liên quan đến nghi phạm Sim Hyon Sop.

“Việc để lập trình viên gốc Bắc Triều Tiên sở hữu quyền truy cập hợp đồng thông minh là rủi ro nghiêm trọng,” — ZachXBT bình luận. “Nhiều trường hợp thất bại trong các dự án blockchain không đến từ kỹ năng tấn công của hacker, mà do sự chủ quan của đội ngũ phát triển. Cần phải cảnh giác ngay từ khâu tuyển dụng.”

Vụ việc đang đặt ra cảnh báo nghiêm trọng cho cộng đồng Web3. Không chỉ là hành vi lừa đảo đơn lẻ, chiến dịch tấn công từ các hacker Bắc Triều Tiên lần này được tổ chức theo mô hình quy mô, có sự đầu tư chiến lược dài hạn. Giới chuyên gia cho rằng các công ty phát triển tiền mã hóa, đặc biệt là startup, cần thiết lập quy trình kiểm tra an ninh kỹ càng ngay từ khâu tuyển nhân sự và hợp tác bên ngoài, nhằm hạn chế rủi ro mất kiểm soát dự án do mã độc hoặc nhân sự có liên quan đến các quốc gia bị cấm vận tham gia.

Với mức độ phức tạp và quy mô tấn công ngày càng gia tăng, bài học thực tế từ NimDoor thêm một lần nữa nhấn mạnh sự cần thiết của việc đầu tư nghiêm túc vào bảo mật trong ngành Web3 — nơi những lỗ hổng nhỏ có thể dẫn đến thiệt hại khổng lồ trong thời gian cực ngắn.