Chiến dịch tấn công mạng tinh vi từ Triều Tiên: Lợi dụng LinkedIn nhắm vào người làm phần mềm

Duy Linh · 09:44

Kỹ thuật xã hội tinh vi và phần mềm độc hại nhiều giai đoạn

Nhóm nghiên cứu từ Socket vừa phát hiện một chiến dịch tấn công mạng tinh vi do các tác nhân đe dọa Triều Tiên đứng sau. Cuộc tấn công này nhắm vào chuỗi cung ứng, đặc biệt là các nhà phát triển phần mềm, thông qua việc phát tán 35 gói npm độc hại từ 24 tài khoản khác nhau. Trong số đó, sáu gói vẫn còn hoạt động, bao gồm react-plaid-sdk và vite-plugin-next-refresh.

Các gói này đã được tải xuống hơn 4.000 lần, đặt ra nguy cơ lớn cho những nhà phát triển thiếu cảnh giác. Chiến dịch liên quan đến chiến thuật có tên “Phỏng vấn lây nhiễm”, trong đó kẻ tấn công đóng giả nhà tuyển dụng trên LinkedIn, dụ các kỹ sư chạy mã độc dưới dạng bài tập lập trình. Những nạn nhân thường bị yêu cầu vượt qua các lớp bảo vệ để truy cập thẳng vào hệ thống.

Cơ chế tấn công và hậu quả với hệ sinh thái mã nguồn mở

Chiến dịch sử dụng phần mềm độc hại nhiều giai đoạn với cấu trúc phức tạp nhằm qua mặt các biện pháp phát hiện truyền thống. Mỗi gói npm chứa một trình tải mã hóa hex có tên HexEval. Sau khi cài đặt, HexEval thu thập siêu dữ liệu máy và chuyển sang giai đoạn tiếp theo – BeaverTail, phần mềm thu thập dữ liệu nhạy cảm như tệp ví tiền điện tử và thông tin trình duyệt trên hệ điều hành Windows, macOS và Linux. Cuối cùng, một cửa hậu khác là InvisibleFerret được tải về để duy trì quyền truy cập.

HexEval sử dụng chuỗi mã hóa thập lục phân để ẩn danh các mô-đun và điểm điều khiển (C2), chỉ giải mã khi thực thi. Mã độc gửi yêu cầu POST HTTPS và thực thi lệnh bằng hàm eval(). Một số gói như jsonsecs còn tích hợp keylogger đa nền tảng để theo dõi hành vi người dùng.

Mức độ tinh vi được nâng cao nhờ chiến lược phân phối có điều kiện dựa trên môi trường thực thi, làm phức tạp việc phân tích mã độc bằng tay. Đồng thời, các hồ sơ tuyển dụng giả mạo trên LinkedIn tiếp tục lừa nạn nhân bằng lời mời làm việc từ xa, với mức lương từ 192.000 đến 300.000 USD (tương đương khoảng 4,8 đến 7,5 tỷ VNĐ mỗi năm). Những kẻ tấn công sử dụng 19 địa chỉ email khác nhau để gửi các bài tập lập trình chứa mã độc qua Google Docs hoặc Bitbucket.

Nhiều nạn nhân cho biết họ được yêu cầu chia sẻ màn hình và chạy mã gốc trực tiếp trong buổi phỏng vấn, một cách làm có chủ đích nhằm chiếm quyền kiểm soát hệ thống.

Chiến dịch này đã hoạt động từ ít nhất tháng 4 năm 2025. Ngoài việc sử dụng các gói npm hợp pháp giả mạo như reactbootstrap, những kẻ tấn công còn ẩn danh hoạt động để trì hoãn việc thực thi mã độc, khiến việc phát hiện trở nên khó khăn hơn.

Trong bối cảnh mối đe dọa ngày càng gia tăng với hệ sinh thái mã nguồn mở, các tổ chức và lập trình viên cần áp dụng công cụ bảo mật nâng cao để ngăn chặn mã độc trước khi triển khai vào môi trường sản xuất. Những biện pháp phòng thủ truyền thống gần như không còn hiệu quả với các hình thức tấn công tinh vi kết hợp giữa kỹ thuật xã hội và xâm nhập chuỗi cung ứng.

Đọc chi tiết tại đây: https://gbhackers.com/north-korean-hackers-pose-as-recruiters-target-developers/