Nhóm APT của Triều Tiên HexagonalRodent đánh cắp $12M tiền mã hóa từ các nhà phát triển Web3 bằng các cuộc tấn công sử dụng AI

Tin tức từ Gate, ngày 24 tháng 4 — Một nhóm APT do Triều Tiên tài trợ, được đặt biệt danh là HexagonalRodent, đã đánh cắp hơn $12 triệu USD tiền mã hóa và NFT từ các nhà phát triển Web3 trong quý đầu tiên của năm 2026, theo công ty an ninh mạng Expel. Nhóm này đã xâm nhập 2,726 thiết bị của nhà phát triển và giành được quyền truy cập vào 26,584 ví tiền mã hóa.

Nhóm này chủ yếu sử dụng các tin tuyển dụng giả trên LinkedIn và các nền tảng tuyển dụng Web3 để dụ người tìm việc thực hiện "bài kiểm tra kỹ năng" được nhúng kèm mã độc. Khi nạn nhân mở các tệp dự án trong VSCode, phần mềm độc hại—bao gồm BeaverTail, OtterCookie và InvisibleFerret—tự động thực thi, cho phép đánh cắp thông tin đăng nhập, truy cập từ xa và khả năng tạo reverse shell. Các kẻ tấn công cũng đã đăng ký các công ty bình phong ở Mexico để tăng độ tin cậy.

Đáng chú ý, HexagonalRodent đã tận dụng mạnh mẽ các công cụ AI tạo sinh như ChatGPT và Cursor để phát triển mã độc, tạo các trang web công ty giả và tạo hồ sơ lãnh đạo được hỗ trợ bởi AI. Nhóm này gần đây đã thực hiện cuộc tấn công chuỗi cung ứng đầu tiên của mình, thành công trong việc xâm nhập một tiện ích mở rộng của VSCode.