Nguyễn Đức Thao
Intern Writer
Một nhóm tin tặc có liên hệ với Bắc Triều Tiên vừa bị phát hiện sử dụng kỹ thuật EtherHiding để phát tán phần mềm độc hại và đánh cắp tiền điện tử. Đây là lần đầu tiên một nhóm hacker được nhà nước hậu thuẫn áp dụng phương pháp này.
Theo Google Threat Intelligence Group (GTIG), nhóm này được định danh là UNC5342, còn được biết đến với nhiều tên gọi khác nhau như CL-STA-0240 (Palo Alto Networks Unit 42), DeceptiveDevelopment (ESET), DEV#POPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX), Tenacious Pungsan (Datadog) và Void Dokkaebi (Trend Micro).
Chiến dịch tấn công mang tên “Contagious Interview” được thiết kế tinh vi nhằm dụ dỗ nạn nhân, thường là các nhà phát triển, trên LinkedIn. Tin tặc giả dạng nhà tuyển dụng hoặc quản lý nhân sự, sau đó lôi kéo mục tiêu chuyển cuộc trò chuyện sang Telegram hoặc Discord để gửi tệp chứa mã độc dưới dạng “bài kiểm tra kỹ năng”.
Mục tiêu cuối cùng là chiếm quyền truy cập vào máy nạn nhân, đánh cắp dữ liệu nhạy cảm và rút tiền điện tử, phục vụ cho cả gián điệp mạng lẫn lợi ích tài chính của Triều Tiên.
Cách thức hoạt động của EtherHiding và chuỗi lây nhiễm đa tầng
Google cho biết UNC5342 bắt đầu sử dụng EtherHiding từ tháng 2/2025. Kỹ thuật này cho phép nhúng mã độc vào hợp đồng thông minh trên blockchain công khai như BNB Smart Chain (BSC) hoặc Ethereum. Điều này biến blockchain thành một máy chủ lưu trữ phi tập trung cực kỳ khó gỡ bỏ.
Không chỉ vậy, EtherHiding còn tận dụng tính ẩn danh của giao dịch blockchain, khiến việc truy tìm người triển khai hợp đồng trở nên gần như bất khả thi. Hacker có thể cập nhật payload độc hại bất cứ lúc nào với chi phí trung bình chỉ 1,37 USD (khoảng 34.000 VNĐ), giúp chúng liên tục thay đổi chiến thuật mà không bị phát hiện.
Ông Robert Wallace, trưởng nhóm tư vấn tại Mandiant – Google Cloud, nhận định:
“Đây là bước leo thang mới trong bối cảnh an ninh mạng, khi tin tặc quốc gia bắt đầu dùng các công nghệ có khả năng chống lại cơ quan thực thi pháp luật và dễ dàng tùy chỉnh cho các chiến dịch tiếp theo.”
Chuỗi tấn công bao gồm nhiều giai đoạn:
- Trình tải xuống ban đầu ngụy trang dưới dạng gói npm.
- BeaverTail – mã độc JavaScript chuyên đánh cắp ví tiền điện tử, dữ liệu trình duyệt và thông tin đăng nhập.
- JADESNOW – trình tải xuống JavaScript kết nối với Ethereum để lấy thêm payload.
- InvisibleFerret – phiên bản JavaScript của backdoor Python, được dùng để điều khiển máy nạn nhân từ xa và thu thập dữ liệu dài hạn, đặc biệt từ ví MetaMask, Phantom và trình quản lý mật khẩu 1Password.
Quá trình lây nhiễm bắt đầu khi nạn nhân chạy mã JavaScript đầu tiên. Mã này sẽ truy cập vào hợp đồng thông minh BSC độc hại để tải JADESNOW, sau đó tiếp tục truy vấn lịch sử giao dịch Ethereum để lấy InvisibleFerret.
Mã độc còn có khả năng tự cài đặt trình thông dịch Python di động, giúp thực thi thêm các thành phần đánh cắp thông tin đăng nhập được lưu trữ ở địa chỉ Ethereum khác.
Google cảnh báo rằng EtherHiding là ví dụ điển hình cho “lưu trữ chống đạn thế hệ mới”, nơi những đặc tính phi tập trung và minh bạch của blockchain bị lợi dụng cho mục đích xấu. Sự xuất hiện của kỹ thuật này cho thấy tin tặc đang nhanh chóng thích nghi với công nghệ mới để vượt qua rào cản bảo mật truyền thống. (thehackernews)
Theo Google Threat Intelligence Group (GTIG), nhóm này được định danh là UNC5342, còn được biết đến với nhiều tên gọi khác nhau như CL-STA-0240 (Palo Alto Networks Unit 42), DeceptiveDevelopment (ESET), DEV#POPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX), Tenacious Pungsan (Datadog) và Void Dokkaebi (Trend Micro).
Chiến dịch tấn công mang tên “Contagious Interview” được thiết kế tinh vi nhằm dụ dỗ nạn nhân, thường là các nhà phát triển, trên LinkedIn. Tin tặc giả dạng nhà tuyển dụng hoặc quản lý nhân sự, sau đó lôi kéo mục tiêu chuyển cuộc trò chuyện sang Telegram hoặc Discord để gửi tệp chứa mã độc dưới dạng “bài kiểm tra kỹ năng”.
Mục tiêu cuối cùng là chiếm quyền truy cập vào máy nạn nhân, đánh cắp dữ liệu nhạy cảm và rút tiền điện tử, phục vụ cho cả gián điệp mạng lẫn lợi ích tài chính của Triều Tiên.
Cách thức hoạt động của EtherHiding và chuỗi lây nhiễm đa tầng
Google cho biết UNC5342 bắt đầu sử dụng EtherHiding từ tháng 2/2025. Kỹ thuật này cho phép nhúng mã độc vào hợp đồng thông minh trên blockchain công khai như BNB Smart Chain (BSC) hoặc Ethereum. Điều này biến blockchain thành một máy chủ lưu trữ phi tập trung cực kỳ khó gỡ bỏ.
Không chỉ vậy, EtherHiding còn tận dụng tính ẩn danh của giao dịch blockchain, khiến việc truy tìm người triển khai hợp đồng trở nên gần như bất khả thi. Hacker có thể cập nhật payload độc hại bất cứ lúc nào với chi phí trung bình chỉ 1,37 USD (khoảng 34.000 VNĐ), giúp chúng liên tục thay đổi chiến thuật mà không bị phát hiện.
Ông Robert Wallace, trưởng nhóm tư vấn tại Mandiant – Google Cloud, nhận định:
“Đây là bước leo thang mới trong bối cảnh an ninh mạng, khi tin tặc quốc gia bắt đầu dùng các công nghệ có khả năng chống lại cơ quan thực thi pháp luật và dễ dàng tùy chỉnh cho các chiến dịch tiếp theo.”
Chuỗi tấn công bao gồm nhiều giai đoạn:
- Trình tải xuống ban đầu ngụy trang dưới dạng gói npm.
- BeaverTail – mã độc JavaScript chuyên đánh cắp ví tiền điện tử, dữ liệu trình duyệt và thông tin đăng nhập.
- JADESNOW – trình tải xuống JavaScript kết nối với Ethereum để lấy thêm payload.
- InvisibleFerret – phiên bản JavaScript của backdoor Python, được dùng để điều khiển máy nạn nhân từ xa và thu thập dữ liệu dài hạn, đặc biệt từ ví MetaMask, Phantom và trình quản lý mật khẩu 1Password.
Quá trình lây nhiễm bắt đầu khi nạn nhân chạy mã JavaScript đầu tiên. Mã này sẽ truy cập vào hợp đồng thông minh BSC độc hại để tải JADESNOW, sau đó tiếp tục truy vấn lịch sử giao dịch Ethereum để lấy InvisibleFerret.
Mã độc còn có khả năng tự cài đặt trình thông dịch Python di động, giúp thực thi thêm các thành phần đánh cắp thông tin đăng nhập được lưu trữ ở địa chỉ Ethereum khác.
Google cảnh báo rằng EtherHiding là ví dụ điển hình cho “lưu trữ chống đạn thế hệ mới”, nơi những đặc tính phi tập trung và minh bạch của blockchain bị lợi dụng cho mục đích xấu. Sự xuất hiện của kỹ thuật này cho thấy tin tặc đang nhanh chóng thích nghi với công nghệ mới để vượt qua rào cản bảo mật truyền thống. (thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
