Kaspersky phát hiện một khung mã độc mới nhắm vào các nhà đầu tư tiền điện tử, theo một báo cáo hôm thứ Tư. Được đặt tên là OkoBot, mã độc này khởi tạo chuỗi lây nhiễm thông qua các chiêu trò kỹ thuật xã hội như ClickFix và các ứng dụng trên GitHub bị cài trojan, đồng thời cung cấp cửa hậu (backdoor) cho các thiết bị bị nhiễm. Kaspersky cho biết đã xác định nhiều cuộc tấn công liên quan đến họ mã độc này kể từ tháng 1/2026. Mã độc được tiến hóa từ TookPS, một chiến dịch được nhận diện lần đầu vào năm 2025, phân phối bộ tải trojan thông qua các trang web giả mạo phần mềm. Riêng hôm thứ Bảy, SlowMist báo cáo rằng một chiến dịch mã độc đang nhắm vào các nhà phát triển Web3 thông qua các cơ hội tuyển dụng LinkedIn giả mạo, đồng thời phân phối bộ trojan truy cập từ xa từ các kho GitHub độc hại được ngụy trang như tài liệu phỏng vấn kỹ thuật.
Khung OkoBot thu thập tệp ví thông qua kiến trúc đường hầm SSH
Theo báo cáo của Kaspersky, mã độc OkoBot có thể thu thập tệp ví tiền điện tử, dữ liệu trình duyệt và thông tin đăng nhập người dùng, tiêm các tiện ích mở rộng độc hại, đồng thời ghi lại cửa sổ ứng dụng ví để đánh cắp tài sản. Khung này khác với các chiến dịch trước đó ở chỗ điều phối cả 20 tải trọng (payload) độc hại thông qua một đường hầm SSH, cho phép chuyển dữ liệu từ các máy tính bị nhiễm sang các máy từ xa do kẻ tấn công kiểm soát. Kaspersky cho biết thêm rằng khung mã độc mở ra cánh cửa cho các cuộc tấn công “bắt chước” (copycat).
Tuyển dụng giả mạo trên LinkedIn phân phối trojan qua các kho GitHub
Theo SlowMist, kẻ tấn công liên hệ với các nhà phát triển blockchain qua LinkedIn, giả làm nhà tuyển dụng Web3. Chúng gửi các kho GitHub giả mạo tới nạn nhân, tuyên bố rằng những kho đó chứa sản phẩm khả dụng tối thiểu (minimum viable product) và cần được thử trước khi phỏng vấn, theo công ty bảo mật blockchain trong báo cáo hôm thứ Bảy. Quy trình này có điểm tương đồng chặt chẽ với một buổi phỏng vấn kỹ thuật hợp pháp: nhà phát triển kéo mã nguồn, cài đặt các phụ thuộc và khởi chạy một dự án, khiến việc nhận ra cuộc tấn công trở nên khó khăn. Mã độc nhắm tới việc cung cấp một trojan truy cập từ xa hoàn chỉnh để lây nhiễm thiết bị, cho phép kẻ tấn công đánh cắp khóa dự án, thông tin xác thực đám mây hoặc dữ liệu tiện ích mở rộng ví từ những nhà phát triển này.
SlowMist liên kết cuộc tấn công với chiến dịch nhắm tới nhà phát triển trên diện rộng
SlowMist viết rằng đây không phải là một sự việc đơn lẻ và cho biết các sự cố gần đây cho thấy kẻ tấn công đang ngày càng tận dụng các kịch bản như tuyển dụng, rà soát mã và hợp tác dự án để lừa các nhà phát triển chạy chủ động các kho mã độc. Báo cáo được công bố một ngày sau khi SlowMist cảnh báo về một chiến dịch mã độc riêng nhắm vào người dùng macOS, nhằm đánh cắp thông tin xác thực và chiếm quyền các phiên Telegram của họ, từ đó cuối cùng lừa nhà đầu tư nhập cụm từ khôi phục ví thông qua các trang web giả mạo.
FAQ
Mã độc OkoBot là gì và khi nào được xác định?
OkoBot là một khung mã độc nhắm vào các nhà đầu tư tiền điện tử mà Kaspersky phát hiện trong báo cáo hôm thứ Tư. Kaspersky đã xác định nhiều cuộc tấn công liên quan đến họ mã độc này kể từ tháng 1/2026. Mã độc khởi tạo chuỗi lây nhiễm thông qua các chiêu trò kỹ thuật xã hội như ClickFix và các ứng dụng GitHub bị cài trojan.
Chiến dịch tuyển dụng LinkedIn giả nhắm mục tiêu các nhà phát triển Web3 như thế nào?
Theo báo cáo hôm thứ Bảy của SlowMist, kẻ tấn công liên hệ với các nhà phát triển blockchain qua LinkedIn, giả làm nhà tuyển dụng Web3. Chúng gửi các kho GitHub giả mạo tới nạn nhân, cho rằng kho đó chứa sản phẩm khả dụng tối thiểu cần được thử trước khi phỏng vấn. Quy trình giống với một buổi phỏng vấn kỹ thuật hợp pháp, khiến việc nhận ra cuộc tấn công trở nên khó khăn.
Mã độc OkoBot đánh cắp dữ liệu gì từ các thiết bị bị nhiễm?
Theo Kaspersky, mã độc OkoBot có thể thu thập tệp ví tiền điện tử, dữ liệu trình duyệt và thông tin đăng nhập người dùng, tiêm các tiện ích mở rộng độc hại và ghi lại cửa sổ ứng dụng ví để đánh cắp tài sản. Khung điều phối cả 20 tải trọng độc hại thông qua một đường hầm SSH, giúp vận chuyển dữ liệu từ các máy tính bị nhiễm tới các máy do kẻ tấn công kiểm soát từ xa.