Cảnh báo khẩn cấp: Mã độc NPM đánh cắp dữ liệu từ Discord

Một chiến dịch mã độc nguy hiểm đã xuất hiện trên kho gói **NPM**, gây rủi ro cho hàng ngàn nhà phát triển và người dùng Windows. Gói độc hại này, được biết đến với tên gọi **“duer-js”**, đã được công bố bởi một người dùng tên **“luizaearlyx”** và ngụy trang thành một công cụ hiển thị console hợp pháp. Dù chỉ có 528 lượt tải xuống, các chuyên gia bảo mật cảnh báo rằng các phương pháp tấn công tinh vi của nó đặt ra các mối đe dọa nghiêm trọng cho bất kỳ ai đã cài đặt. Mã độc này, tự nhận diện là **“Bada Stealer”**, vẫn đang hoạt động trên NPM tính đến thời điểm hiện tại, tiếp tục gây nguy hiểm cho các nhà phát triển không nghi ngờ có thể đưa nó vào dự án của họ, dẫn đến tình trạng **đánh cắp dữ liệu** nhạy cảm.

Chiến Thuật Tấn Công Đa Giai Đoạn của Bada Stealer

Điều làm cho mối đe dọa này đặc biệt đáng báo động là chiến lược tấn công đa giai đoạn của nó. Khi được cài đặt, mã độc không chỉ đánh cắp dữ liệu và biến mất.

Thay vào đó, nó tải xuống một payload độc hại thứ cấp được thiết kế đặc biệt để nhắm mục tiêu vào người dùng **Discord**. Thành phần phụ này chiếm quyền điều khiển ứng dụng Discord trên máy tính bằng cách tự tiêm vào quá trình khởi động của ứng dụng, cho phép nó liên tục giám sát và **đánh cắp dữ liệu** nhạy cảm mỗi khi Discord chạy.

Mã độc có khả năng thu thập các phương thức thanh toán, token xác thực và thậm chí bỏ qua các lớp bảo vệ xác thực hai yếu tố (**2FA**).

Phân Tích Kỹ Thuật và Cơ Chế Duy Trì

Các nhà phân tích từ **JFrog Security Research** đã xác định gói tinh vi này sau khi tiến hành phân tích chi tiết các kỹ thuật che giấu của nó. Các nhà nghiên cứu phát hiện ra rằng việc gỡ cài đặt gói đơn thuần sẽ không đủ để loại bỏ hoàn toàn nhiễm trùng.

Mã độc đã thiết lập các cơ chế duy trì trên hệ thống, cho phép nó sống sót sau các nỗ lực gỡ bỏ cơ bản. Điều này làm tăng thêm mức độ phức tạp và rủi ro của **mối đe dọa mạng** này. Thông tin chi tiết về phân tích này có thể được tìm thấy tại JFrog Security Research.

Quy Trình Đánh Cắp Dữ Liệu Chi Tiết

Bada Stealer hoạt động thông qua một quy trình đánh cắp thông tin được thiết kế cẩn thận. Khi được thực thi lần đầu, nó chấm dứt các tiến trình trình duyệt và **Telegram** đang chạy để truy cập các tệp bị khóa.

Mã độc sau đó quét hệ thống bị nhiễm một cách có hệ thống để tìm kiếm dữ liệu có giá trị trên nhiều ứng dụng.

Mục Tiêu Đánh Cắp Dữ Liệu

Các loại dữ liệu mà **Bada Stealer** nhắm mục tiêu để **đánh cắp dữ liệu** bao gồm:

• Token Discord: Được lưu trữ trong cơ sở dữ liệu cục bộ, mã độc trích xuất không chỉ thông tin đăng nhập xác thực mà còn cả chi tiết đăng ký **Nitro**, thông tin thanh toán, nguồn thanh toán, danh sách bạn bè và mã dự phòng **xác thực hai yếu tố (2FA)**.
• Dữ liệu Trình duyệt: Stealer trích xuất mật khẩu đã lưu từ các trình duyệt **Chrome, Edge, Brave, Opera** và **Yandex** bằng cách giải mã chúng bằng **Windows Data Protection API (DPAPI)**. Nó thu thập cookie từ nhiều thư mục hồ sơ và đánh cắp dữ liệu tự động điền, bao gồm số thẻ tín dụng, ngày hết hạn và tên chủ thẻ trước khi chúng được mã hóa.
• Ví tiền điện tử: Người dùng ví tiền điện tử đối mặt với nguy hiểm đặc biệt, vì mã độc đặc biệt săn lùng các tệp ví **Exodus** và các ví mở rộng trình duyệt khác nhau như **MetaMask, BraveWallet** và **AtomicWallet**.
• Tài khoản Steam: Ngay cả người dùng **Steam** cũng không an toàn, với mã độc nén và trích xuất các tệp cấu hình Steam.

Kênh Exfiltration Dữ Liệu

Tất cả thông tin bị đánh cắp được truyền tới kẻ tấn công thông qua một **Discord webhook**, với một phương pháp exfiltration dự phòng sử dụng dịch vụ lưu trữ đám mây **Gofile**.

Cách tiếp cận kênh đôi này đảm bảo rằng ngay cả khi một phương thức liên lạc thất bại, kẻ tấn công vẫn nhận được dữ liệu bị đánh cắp của chúng. Mã độc tạo các tệp văn bản chứa mật khẩu, chi tiết thẻ tín dụng và thông tin tự động điền trước khi tải chúng lên.

Các Biện Pháp Khắc Phục và Bảo Vệ An Ninh Mạng

Nếu bạn đã cài đặt gói **duer-js**, hành động ngay lập tức là bắt buộc ngoài việc gỡ cài đặt đơn giản. Việc thực hiện các bước sau sẽ giúp bảo vệ **an ninh mạng** và ngăn chặn **đánh cắp dữ liệu** trong tương lai:

Xóa bỏ triệt để Discord

1. Hoàn toàn đóng ứng dụng Discord.
2. Gỡ cài đặt Discord thông qua **Windows Settings** hoặc **Control Panel**.
3. Nhấn tổ hợp phím **Win+R**, gõ **%LOCALAPPDATA%**, và xóa tất cả các thư mục liên quan đến Discord, bao gồm **Discord, DiscordPTB**, và **DiscordCanary**, để loại bỏ mã độc đã tiêm nhiễm.
4. Cài đặt lại Discord từ trang web chính thức của hãng.

Loại bỏ Persistence

Kiểm tra và loại bỏ bất kỳ tệp **node.exe** nào khỏi thư mục **Windows Startup**.

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup

Thay đổi thông tin và Cập nhật bảo mật

Để bảo vệ các tài khoản và thông tin cá nhân khỏi nguy cơ **đánh cắp dữ liệu**, hãy thực hiện các hành động sau:

• Thay đổi tất cả mật khẩu đã lưu trong các trình duyệt của bạn.
• Thu hồi các **token Discord**.
• Bật xác thực hai yếu tố (**2FA**) nếu chưa kích hoạt.
• Xem lại các phương thức thanh toán **Discord** để tìm các thay đổi trái phép.
• Kiểm tra các ví tiền điện tử và tài khoản **Steam** để tìm hoạt động đáng ngờ.

Quá trình dọn dẹp toàn diện này đảm bảo loại bỏ hoàn toàn nhiễm trùng và bảo vệ các tài khoản của bạn khỏi bị xâm phạm thêm. Duy trì các biện pháp phòng ngừa này là rất quan trọng để đảm bảo **an ninh mạng** của bạn.