An ninh mạng

Cảnh báo: Lỗ hổng nghiêm trọng trên SimpleHelp bị khai thác để phát tán mã độc đánh cắp dữ liệu

Các chuyên gia bảo mật phát hiện chiến dịch tấn công nhắm vào lỗ hổng CVE-2026-48558 trên phần mềm SimpleHelp, cho phép kẻ tấn công vượt qua xác thực và triển khai mã độc TaskWeaver cùng Djinn...

Nguyen Hung
30 Tháng 6, 2026 2 Min Read
4 0

Một nhóm tin tặc chưa xác định đang tích cực khai thác lỗ hổng bảo mật nghiêm trọng (CVSS 10.0) trên phần mềm SimpleHelp để phát tán hai loại mã độc mới là TaskWeaverDjinn Stealer.

Table Of Content

Chi tiết về lỗ hổng CVE-2026-48558

Lỗ hổng CVE-2026-48558 là một lỗi bypass xác thực trong luồng OpenID Connect (OIDC). Kẻ tấn công không cần xác thực có thể gửi một token giả mạo chứa các thông tin định danh tùy ý để chiếm quyền truy cập dưới vai trò “Technician”. Đáng chú ý, ngay cả khi máy chủ SimpleHelp yêu cầu xác thực đa yếu tố (MFA), kẻ tấn công vẫn có thể vượt qua cơ chế này bằng cách tự đăng ký phương thức MFA mới trong lần đăng nhập đầu tiên.

Theo Horizon3.ai, đơn vị phát hiện lỗ hổng, lỗi này ảnh hưởng đến các máy chủ cấu hình OIDC hoặc Azure AD OIDC do cách SimpleHelp xác thực các khẳng định IdP.

Phương thức tấn công và mã độc

Sau khi chiếm quyền điều khiển thông qua RMM (Remote Monitoring and Management), tin tặc triển khai TaskWeaver – một trình tải (loader) Node.js được làm rối (obfuscated) kỹ lưỡng. TaskWeaver đóng vai trò là kênh phân phối payload, cho phép kẻ tấn công thực thi các lệnh từ xa và tải xuống Djinn Stealer.

Djinn Stealer là một loại mã độc đánh cắp thông tin (infostealer) đa nền tảng (Windows, macOS, Linux) với khả năng thu thập dữ liệu cực kỳ tinh vi, bao gồm:

  • Thông tin đăng nhập, lịch sử duyệt web từ các trình duyệt.
  • Dữ liệu cấu hình và xác thực của các nền tảng Cloud (AWS, Azure, Google Cloud, v.v.).
  • Thông tin từ các công cụ phát triển: GitHub CLI, Git, SSH keys, Docker, Helm.
  • Thông tin đăng nhập các gói thư viện (npm, pip, Maven, v.v.).
  • Dữ liệu từ các trợ lý AI như Claude, Gemini, OpenAI Codex.
  • Ví tiền điện tử và keystore.

Trên Linux, mã độc còn cố gắng đọc các tệp tin hệ thống như /proc/pid/cmdline/proc/pid/environ để thu thập API keys hoặc chuỗi kết nối cơ sở dữ liệu.

Khuyến nghị

Dữ liệu sau khi thu thập sẽ được nén, mã hóa bằng AES-256-GCM và gửi về máy chủ của kẻ tấn công. Chiến dịch này cho thấy xu hướng tin tặc đang tập trung mạnh mẽ vào việc khai thác các công cụ hỗ trợ AI và môi trường phát triển để leo thang đặc quyền.

CISA đã đưa CVE-2026-48558 vào danh mục các lỗ hổng bị khai thác thực tế (KEV) và yêu cầu các cơ quan liên bang phải áp dụng bản vá ngay lập tức. Người dùng SimpleHelp cần kiểm tra phiên bản hiện tại và cập nhật bản vá từ nhà cung cấp để tránh nguy cơ bị chiếm quyền điều khiển hệ thống.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept