Tin tặc Triều Tiên ngụy trang mã độc trong ảnh SVG để tấn công lập trình viên
Các nhóm tin tặc liên quan đến Triều Tiên đang sử dụng kỹ thuật steganography để ẩn mã độc bên trong các tệp hình ảnh SVG, nhắm mục tiêu vào các lập trình viên thông qua những bài kiểm tra kỹ năng...
Các nhóm tin tặc được cho là có liên hệ với Triều Tiên, thuộc chiến dịch “Contagious Interview”, đang triển khai một phương thức tấn công tinh vi mới. Bằng cách sử dụng kỹ thuật steganography (giấu tin), chúng ẩn các payload độc hại bên trong các tệp hình ảnh định dạng SVG nhằm đánh lừa các lập trình viên thông qua những lời mời làm việc và bài kiểm tra năng lực giả mạo.
Theo báo cáo từ Elastic Security Labs, chiến dịch này (được theo dõi với mã định danh REF9403) nhắm mục tiêu vào các cộng đồng công nghệ, bao gồm cả các kênh Slack chuyên về tuyển dụng. Kẻ tấn công đóng vai nhà tuyển dụng, đưa ra các dự án giả định yêu cầu ứng viên thực hiện bài kiểm tra kỹ năng trên một kho lưu trữ mã nguồn (repository) đã bị chèn mã độc.
Cơ chế tấn công tinh vi
Điểm đáng chú ý của chiến dịch này là cách thức phân phối mã độc. Thay vì sử dụng các tệp thực thi đáng ngờ, mã độc được chia nhỏ thành các đoạn mã Base64 và chèn vào phần chú thích (comment) bên trong các tệp hình ảnh SVG (thường là hình ảnh quốc kỳ). Khi người dùng chạy dự án, một tệp JavaScript có tên serverValidation.js sẽ tự động thu thập và lắp ghép các mảnh mã này để thực thi payload cuối cùng.
Mã độc này có sự tương đồng với OtterCookie – một loại malware đa nền tảng xuất hiện từ năm 2024. Sau khi xâm nhập thành công, nó sẽ thực hiện chuỗi hành vi nguy hiểm gồm 4 giai đoạn:
- Đánh cắp thông tin đăng nhập trình duyệt và ví tiền điện tử.
- Đánh cắp tệp tin nhạy cảm trên máy tính.
- Cài đặt một Remote Access Trojan (RAT) dựa trên Socket.IO để kiểm soát từ xa.
- Theo dõi và đánh cắp dữ liệu từ clipboard.
Mở rộng mục tiêu sang các công cụ AI
Đáng chú ý, OtterCookie hiện đã được nâng cấp để thu thập dữ liệu từ các tiện ích mở rộng của các công cụ lập trình AI phổ biến như Cursor, Claude, Gemini, Windsurf, Pearai và Llama. Điều này cho thấy tin tặc đang tích cực tinh chỉnh kho vũ khí của mình để tối đa hóa khả năng thu thập thông tin từ các thiết bị của lập trình viên.
Các chuyên gia bảo mật cảnh báo rằng việc thỏa hiệp với một lập trình viên cá nhân không chỉ gây thiệt hại cho chính người đó mà còn là bàn đạp để thực hiện các cuộc tấn công chuỗi cung ứng (supply chain attack) quy mô lớn hơn nhắm vào các tổ chức mà họ đang làm việc. Người dùng được khuyến cáo nên hết sức thận trọng khi tải về và thực thi các mã nguồn từ những nguồn không xác định, ngay cả khi chúng được ngụy trang dưới hình thức bài kiểm tra tuyển dụng chuyên nghiệp.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.