Nguy hiểm! Tấn công mạng RAT qua tuyển dụng Crypto Devs

Một chiến dịch tấn công mạng tinh vi đã được phát hiện, nhắm mục tiêu vào các nhà phát triển tiền điện tử thông qua các chiến thuật giả mạo tuyển dụng. Hoạt động độc hại này, được đặt tên là “Graphalgo”, đã hoạt động kể từ tháng 5 năm 2025, sử dụng các lời mời làm việc giả mạo để phân phối mã độc truy cập từ xa (RAT) đến các mục tiêu.

Chiến Dịch Giả Mạo Tuyển Dụng “Graphalgo”

Chiến dịch “Graphalgo” đại diện cho một hình thức tấn công mạng có chủ đích, tập trung vào lĩnh vực blockchain và công nghệ tiền điện tử. Các mục tiêu chính là các nhà phát triển có kinh nghiệm trong các lĩnh vực này.

Kẻ tấn công khai thác các nền tảng kho gói mã nguồn mở đáng tin cậy như GitHub, npm và PyPI. Điều này biến các quy trình phát triển hợp pháp thành các vector lây nhiễm hiệu quả, ẩn mình trong các thư viện được sử dụng rộng rãi.

Kỹ Thuật Social Engineering và Nền Tảng Lợi Dụng

Quy trình lừa đảo bắt đầu bằng việc tiếp cận các nạn nhân tiềm năng. Kẻ tấn công sử dụng các nền tảng mạng xã hội chuyên nghiệp như LinkedIn và Facebook, hoặc đăng quảng cáo việc làm trên các diễn đàn dành cho nhà phát triển như Reddit.

Mục tiêu của chiến thuật social engineering này là thu hút các nạn nhân bằng các cơ hội việc làm tại các công ty giả mạo. Các công ty này thường tuyên bố hoạt động trong lĩnh vực blockchain và sàn giao dịch tiền điện tử, nổi bật nhất là “Veltrix Capital”.

Vector Lây Nhiễm và Cơ Chế Khai Thác Mã Độc

Các nạn nhân sẽ nhận được các bài kiểm tra kỹ năng lập trình (coding test) có vẻ hợp pháp. Tuy nhiên, các bài kiểm tra này chứa các dependency độc hại được ẩn giấu, được thiết kế để thỏa hiệp hệ thống của họ ngay khi được thực thi.

Đặc điểm nguy hiểm của chiến dịch này nằm ở kiến trúc mô-đun của nó. Kiến trúc này cho phép các tác nhân đe dọa duy trì hoạt động ngay cả khi một phần của chiến dịch bị phát hiện hoặc bị vô hiệu hóa.

Chi nhánh mới của chiến dịch giả mạo tuyển dụng này đã được các nhà nghiên cứu của ReversingLabs xác định và đặt tên theo gói mã độc đầu tiên được tìm thấy trong kho lưu trữ npm. Bạn có thể tham khảo chi tiết phân tích tại ReversingLabs Blog.

Quy Trình Lây Nhiễm Chi Tiết

Quá trình lây nhiễm bắt đầu khi các nhà phát triển nhận các nhiệm vụ phỏng vấn công việc thông qua các kho lưu trữ GitHub. Các kho lưu trữ này do các công ty giả mạo kiểm soát.

Các nhiệm vụ mã hóa này dành cho các vị trí DevOps hoặc blockchain. Tuy nhiên, bên trong các tệp dự án có chứa các dependency trỏ đến các gói bị thỏa hiệp. Những gói này được lưu trữ trên các kho npm và PyPI.

Khi nạn nhân chạy hoặc gỡ lỗi mã phỏng vấn, trình quản lý gói sẽ tự động cài đặt các dependency độc hại này. Đây là một phương thức lây nhiễm hiệu quả trong bối cảnh phát triển phần mềm hiện đại.

Các gói độc hại bao gồm nhiều lớp obfuscation (làm rối mã) và các payload được mã hóa. Chúng có chức năng tải xuống mã độc giai đoạn hai từ các máy chủ chỉ huy và kiểm soát (C2).

Mã Độc RAT và Khả Năng Chiếm Quyền Điều Khiển Hệ Thống

Payload cuối cùng là một mã độc RAT hoàn chỉnh, có đầy đủ chức năng. RAT này có khả năng thực thi các lệnh tùy ý trên hệ thống bị nhiễm.

Các khả năng chính của RAT bao gồm:

• Thực thi lệnh tùy ý (arbitrary command execution).
• Tải lên tệp (upload files).
• Liệt kê các tiến trình đang chạy (list processes).
• Kiểm tra sự hiện diện của tiện ích mở rộng trình duyệt MetaMask, cho thấy mục tiêu là đánh cắp quỹ tiền điện tử.

Ba phiên bản của RAT đã được xác định, được viết bằng JavaScript, Python và Visual Basic Script. Mã độc giao tiếp với các máy chủ C2 bằng cách sử dụng xác thực được bảo vệ bằng token. Cơ chế này ngăn cản các nhà nghiên cứu bảo mật phân tích phản hồi của máy chủ.

Cơ Chế Liên Lạc C2 và Dấu Hiệu Hoạt Động Của Nhóm Tấn Công

Cơ chế token trong giao tiếp C2 đã được quan sát thấy trong các chiến dịch tấn công mạng khác do nhóm này thực hiện. Điều này củng cố thông tin về nguồn gốc và độ tinh vi của tác nhân đe dọa.

Các dấu thời gian GMT+9 trong các commit của git và kỹ thuật social engineering tập trung vào tiền điện tử cũng phù hợp với các đặc điểm hành vi đã được thiết lập của nhóm tấn công này. Điều này giúp các nhà nghiên cứu xác định được nguồn gốc của cuộc tấn công mạng.

Chỉ Số Thỏa Hiệp (IOCs)

Để hỗ trợ việc phát hiện và phòng ngừa các cuộc tấn công mạng liên quan đến chiến dịch Graphalgo, các chỉ số thỏa hiệp sau đây cần được chú ý:

• Malicious npm Package: bigmathutils
• Generic Malicious Packages: Các gói bị thỏa hiệp khác được lưu trữ trên các kho npm và PyPI, thường được ngụy trang dưới dạng các dependency hợp pháp.
• Command-and-Control Servers: Các địa chỉ IP hoặc tên miền mà mã độc RAT liên lạc (cần được giám sát dựa trên threat intelligence cập nhật).

Gói npm bigmathutils đã tích lũy hơn 10.000 lượt tải xuống trước khi một phiên bản có vũ khí được phát hành. Điều này chứng tỏ sự kiên nhẫn và tính toán đặc trưng của các chiến dịch được thực hiện bởi các nhóm có nguồn lực mạnh.

Ngăn Chặn và Nâng Cao An Ninh Mạng

Để bảo vệ khỏi các chiến dịch tấn công mạng kiểu này, các nhà phát triển và tổ chức cần áp dụng các biện pháp an toàn thông tin mạnh mẽ.

• Kiểm tra kỹ lưỡng các lời mời làm việc: Luôn xác minh tính xác thực của các công ty và các cá nhân tuyển dụng, đặc biệt là trong không gian tiền điện tử.
• Đánh giá cẩn thận các dependency: Trước khi chạy hoặc cài đặt bất kỳ gói hoặc thư viện nào, hãy kiểm tra kỹ mã nguồn và danh tiếng của chúng. Ưu tiên các gói từ các nhà phát triển đáng tin cậy và có lịch sử rõ ràng.
• Sử dụng các công cụ bảo mật: Triển khai các giải pháp bảo mật endpoint (EDR), hệ thống phát hiện xâm nhập (IDS) và tường lửa để giám sát và ngăn chặn các hoạt động đáng ngờ.
• Cập nhật hệ thống và phần mềm: Đảm bảo rằng tất cả hệ điều hành, trình duyệt và các công cụ phát triển đều được cập nhật các bản vá bảo mật mới nhất để củng cố an ninh mạng tổng thể.

Việc nâng cao nhận thức về các kỹ thuật social engineering và thực hành an ninh mạng tốt là yếu tố then chốt để chống lại các mối đe dọa ngày càng tinh vi này.