Kaspersky đã phát hiện một khung mã độc mới nhắm vào các nhà đầu tư tiền điện tử trong một báo cáo hôm thứ Tư. Được đặt tên là OkoBot, mã độc này khởi tạo chuỗi lây nhiễm thông qua các chiêu trò kỹ thuật xã hội như ClickFix, nhằm đánh lừa người dùng chạy các lệnh độc hại, hoặc các ứng dụng GitHub bị cấy trojan có nhiệm vụ đưa một backdoor vào các thiết bị bị nhiễm. Kaspersky cho biết đã ghi nhận nhiều cuộc tấn công liên quan đến họ mã độc này kể từ tháng 1 năm 2026. Mã độc có thể thu thập các tệp ví crypto, dữ liệu trình duyệt và thông tin đăng nhập người dùng, chèn các tiện ích mở rộng độc hại và chụp các cửa sổ ứng dụng ví để đánh cắp tài sản. Khung mã độc đã tiến hóa từ TookPS, một chiến dịch mã độc được nhận diện lần đầu vào năm 2025, trong đó phát tán bộ tải trojan thông qua các trang web giả mạo phần mềm.
Khung OkoBot hoạt động theo kiến trúc đường hầm SSH
OkoBot khác với các chiến dịch trước đó ở chỗ điều phối cả 20 payload độc hại thông qua một đường hầm SSH, giúp truyền dữ liệu từ các máy tính bị nhiễm đến các máy từ xa do kẻ tấn công kiểm soát. Kaspersky cũng cho biết khung này mở ra cánh cửa cho các cuộc tấn công bắt chước.
![Original OkoBot infection chain. Source: Kaspersky]()
Các chiến dịch LinkedIn giả nhắm vào nhà phát triển Web3 thông qua kho GitHub độc hại
Một chiến dịch mã độc khác nhắm đến việc xâm nhập thiết bị của các nhà phát triển Web3 thông qua các cơ hội tuyển dụng LinkedIn giả mạo, theo SlowMist. Kẻ tấn công liên hệ với các nhà phát triển blockchain qua LinkedIn, đóng vai là các nhà tuyển dụng Web3, công ty an ninh blockchain cho biết trong một báo cáo hôm thứ Bảy. Sau đó, chúng gửi các kho GitHub giả tới nạn nhân, tuyên bố rằng các kho này chứa sản phẩm khả dụng tối thiểu và cần được thử trước khi phỏng vấn.
Quy trình này khá giống một buổi phỏng vấn kỹ thuật hợp pháp, nơi nhà phát triển tải mã, cài đặt phụ thuộc và khởi chạy một dự án, khiến việc nhận ra cuộc tấn công trở nên khó khăn, theo SlowMist. Mã độc nhắm tới việc triển khai một remote access trojan hoàn chỉnh để lây nhiễm thiết bị, cho phép kẻ tấn công đánh cắp khóa dự án, thông tin đăng nhập đám mây hoặc dữ liệu tiện ích mở rộng ví từ những nhà phát triển này.
SlowMist cho biết cuộc tấn công này không phải trường hợp đơn lẻ, đồng thời chỉ ra rằng các sự cố gần đây cho thấy kẻ tấn công ngày càng tận dụng các tình huống như tuyển dụng, rà soát mã và hợp tác dự án để lừa nhà phát triển chủ động chạy các kho mã độc. Báo cáo được đưa ra một ngày sau khi SlowMist cảnh báo về một chiến dịch mã độc riêng nhắm vào người dùng macOS, nhằm đánh cắp thông tin đăng nhập và chiếm quyền các phiên Telegram của họ, để cuối cùng lừa nhà đầu tư nhập cụm từ khôi phục ví thông qua các trang web giả mạo.
FAQ
Mã độc OkoBot là gì và khi nào nó được phát hiện?
OkoBot là một khung mã độc nhắm vào các nhà đầu tư tiền điện tử mà Kaspersky phát hiện trong một báo cáo hôm thứ Tư. Kaspersky xác định nhiều cuộc tấn công liên quan đến họ mã độc này kể từ tháng 1 năm 2026. Mã độc khởi tạo lây nhiễm thông qua kỹ thuật xã hội như ClickFix hoặc các ứng dụng GitHub bị cấy trojan và có thể thu thập các tệp ví crypto, dữ liệu trình duyệt, thông tin đăng nhập người dùng, chèn các tiện ích mở rộng độc hại cũng như chụp các cửa sổ ứng dụng ví.
Các chiến dịch tuyển dụng LinkedIn giả nhắm vào nhà phát triển Web3 như thế nào?
Kẻ tấn công liên hệ với các nhà phát triển blockchain qua LinkedIn, đóng vai là các nhà tuyển dụng Web3, theo báo cáo hôm thứ Bảy của SlowMist. Chúng gửi tới nạn nhân các kho GitHub giả, cho rằng các kho này chứa sản phẩm khả dụng tối thiểu cần được thử trước khi phỏng vấn. Quy trình này giống một buổi phỏng vấn kỹ thuật hợp pháp, nơi nhà phát triển tải mã, cài đặt phụ thuộc và khởi chạy một dự án, khiến việc nhận ra cuộc tấn công trở nên khó khăn. Mã độc triển khai một remote access trojan để đánh cắp khóa dự án, thông tin đăng nhập đám mây hoặc dữ liệu tiện ích mở rộng ví.