 |
Một nhà phát triển blockchain kỳ cựu tại Nga đã cài đặt tiện ích mở rộng có tên “Solidity Language” trên nền tảng Cursor IDE - đây là một phiên bản tùy biến từ Visual Studio Code tích hợp trợ lý AI. Tiện ích này được giới thiệu là hỗ trợ viết hợp đồng thông minh bằng ngôn ngữ Solidity, nhưng thực chất là một công cụ đánh cắp tài sản kỹ thuật số tinh vi.
Tiện ích giả mạo được đăng tải trên kho Open VSX, đánh lừa người dùng bằng lượt tải ma lên tới 54.000 lượt, đồng thời cập nhật mới hơn phiên bản chính chủ. Các nhà phát triển dễ dàng bị thuyết phục khi tiện ích đứng đầu trong kết quả tìm kiếm.
Thay vì cung cấp chức năng như đã hứa, tiện ích mở rộng này đã thực hiện một chuỗi hoạt động độc hại tàn phá. Ngay khi được cài, extension bắt đầu chuỗi hành vi độc hại:
Đầu tiên tải mã độc từ máy chủ angelic[.]su
Sau đó cài đặt phần mềm điều khiển từ xa ScreenConnect thông qua relay.lmfao[.]su để chiếm quyền kiểm soát.
Tiếp tục tải Quasar RAT và phần mềm độc hại đánh cắp, cuối cùng là đánh cắp mật khẩu từ ví điện tử của nạn nhân.
Chỉ trong vòng vài giờ, toàn bộ cụm mật khẩu (seed phrase) và tệp ví của nạn nhân bị đánh cắp. Hacker nhanh chóng rút sạch số tiền hơn 500.000 USD khỏi ví.
Sự tinh vi không dừng lại ở đó, những kẻ tấn công nhanh chóng tải lên một phiên bản mới với tên chính xác là “Solidity” bắt chước tên người dùng của nhà phát triển hợp pháp với một lỗi đánh máy tinh vi.
Với con số khó tin là hai triệu lượt tải xuống, tiện ích này xuất hiện cùng với tiện ích mở rộng chính hãng trong kết quả tìm kiếm, khai thác những điểm tương đồng về mặt hình ảnh để đánh lừa người dùng.
Các gói độc hại như “Solsafe” trên npm và các tiện ích mở rộng đã bị phát hiện, sử dụng các phương pháp lây nhiễm gần như giống hệt nhau, cho thấy một chiến dịch rộng hơn nhắm vào các chuyên gia blockchain.
Các cuộc tấn công này liên tục sử dụng các tập lệnh ẩn và các dữ liệu ẩn trong hình ảnh, làm nổi bật mối đe dọa có hệ thống và dai dẳng.
Cuộc điều tra mở rộng từ các chuyên gia bảo mật như Kaspersky và VulnCheck phát hiện đây không phải vụ tấn công đơn lẻ. Hacker đã triển khai một chiến dịch có tổ chức, đánh vào các chuỗi cung ứng phần mềm (supply chain) vốn thiếu kiểm soát trong cộng đồng mã nguồn mở.
Các mục tiêu không chỉ giới hạn trong cộng đồng blockchain. Hacker còn nhắm tới các công ty khởi nghiệp công nghệ tài chính, lập trình viên AI, người dùng ví lạnh, và cả sinh viên đang học lập trình blockchain.
Theo ông Mikhail Butin, chuyên gia phân tích mã độc tại Kaspersky, các nền tảng như Open VSX, GitHub, npm đang là kho báu cho hacker lợi dụng. "Hacker ngày nay không cần đột nhập hệ thống. Họ chỉ cần đẩy mã độc vào nơi mà các kỹ sư tự tay đưa vào môi trường làm việc", ông cảnh báo.
Các khuyến nghị dành cho nhà phát triển blockchain:
Thứ nhất kiểm tra kỹ danh tính nhà phát triển trước khi cài extension.
Thứ hai không cài đặt các tiện ích vừa mới xuất hiện, có lượt tải bất thường.
Thứ ba tách riêng môi trường phát triển khỏi ví thật (air-gapped wallet).
Thứ tư giám sát kết nối bất thường với máy chủ lạ qua tường lửa (firewall).
Thứ năm sao lưu passphrase ngoại tuyến và mã hóa bằng công cụ chuyên dụng.
Trí tuệ nhân tạo đang giúp lập trình nhanh hơn, nhưng cũng đang giúp hacker tự động hóa đánh cắp và ẩn mình sâu hơn trong hệ sinh thái phát triển phần mềm. Trong môi trường blockchain, chỉ một tiện ích giả mạo là đủ để làm bốc hơi toàn bộ tài sản của bạn.
Thu Uyên
Bình luận