An ninh mạng

Tin tặc Triều Tiên biến công cụ lập trình thành kênh phát tán mã độc

Các nhóm tin tặc liên quan đến Triều Tiên đang thay đổi chiến thuật, chuyển từ tấn công mạng xã hội sang lạm dụng các công cụ phát triển phần mềm như VS Code và GitHub để phát tán mã độc quy mô...

Nguyen Hung
16 Tháng 6, 2026 3 Min Read
2 0

Các nhà nghiên cứu an ninh mạng vừa phát hiện hai chiến dịch tấn công mới có nhiều điểm tương đồng với nhóm tin tặc khét tiếng từ Triều Tiên, thường được biết đến với tên gọi Contagious Interview (hay còn gọi là Famous Chollima, HexagonalRodent, Void Dokkaebi).

Theo báo cáo từ Proofpoint, nhóm này đang triển khai chiến dịch có tên mã UNK_DeadDrop, nhắm vào gần 100 tổ chức trong các lĩnh vực tài chính, tiền điện tử, giáo dục và công nghệ. Kẻ tấn công sử dụng các email phishing giả danh tuyển dụng hoặc yêu cầu đánh giá mã nguồn để dẫn dụ nạn nhân truy cập vào các kho lưu trữ GitHub độc hại.

Kỹ thuật tấn công qua VS Code

Điểm đáng chú ý nhất trong chiến dịch này là việc lạm dụng tính năng runOn: folderOpen của Microsoft Visual Studio Code (VS Code). Kỹ thuật này cho phép mã độc tự động thực thi ngay khi nạn nhân mở thư mục dự án trong trình chỉnh sửa mà không cần bất kỳ tương tác bổ sung nào. Kẻ tấn công đã sử dụng phương thức này từ cuối năm 2025.

Khi được kích hoạt, mã độc sẽ cài đặt một extension độc hại (VSIX) giả danh dịch vụ của Google. Sau đó, nó liên lạc với server điều khiển (C2) để thực hiện các lệnh từ xa, thu thập thông tin hệ thống và đánh cắp dữ liệu từ các ví tiền điện tử, thông tin đăng nhập trình duyệt và ứng dụng desktop.

Sự chuyển dịch trong phương thức tấn công

Các chuyên gia nhận định rằng chiến dịch UNK_DeadDrop cho thấy sự trưởng thành và quy mô hóa trong các hoạt động tấn công của tin tặc Triều Tiên. Thay vì chỉ tập trung vào kỹ thuật xã hội (social engineering) qua LinkedIn để thực hiện các cuộc phỏng vấn giả mạo, chúng đã chuyển sang các chiến dịch phishing quy mô lớn, nhắm vào các nhà phát triển phần mềm.

Ngoài ra, các báo cáo gần đây cũng ghi nhận hàng loạt biến tướng khác như:

  • TaskJacker: Lạm dụng tính năng tasks.json trong VS Code để tự động thực thi mã độc.
  • Sử dụng Git hooks: Tận dụng tệp .githooks/pre-commit để kích hoạt mã độc ngay khi nạn nhân clone kho lưu trữ.
  • Tấn công chuỗi cung ứng: Phát tán các gói npm độc hại giả danh các thư viện hỗ trợ bot giao dịch tiền điện tử.
  • Sử dụng AI: Tin tặc tận dụng AI tạo sinh để hỗ trợ phát triển mã độc và xây dựng các công ty bình phong nhằm tăng độ tin cậy cho các tin tuyển dụng giả mạo.

Các chuyên gia từ Expel ước tính rằng chỉ trong ba tháng đầu năm 2026, các chiến dịch này đã gây thiệt hại khoảng 12 triệu USD tiền điện tử, với hơn 26.000 ví bị xâm phạm từ hàng nghìn hệ thống của các nhà phát triển. Việc bị áp đặt các lệnh trừng phạt kinh tế nặng nề được cho là động lực chính khiến Triều Tiên đẩy mạnh các hoạt động tấn công mạng nhằm trục lợi tài chính.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept