Hacker Triều Tiên đang tăng tốc giả mạo nhân sự IT để thâm nhập các công ty tiền điện tử, theo cảnh báo mới từ Changpeng Zhao (CZ) và nhóm hacker mũ trắng Security Alliance.
Chúng đóng giả ứng viên, nhà tuyển dụng, người dùng, thậm chí hối lộ để lấy dữ liệu. Coinbase đã siết chặt kiểm soát nội bộ, còn SEAL công bố kho dữ liệu 60 hồ sơ giả mạo để cộng đồng rà soát, đối chiếu.
- Hacker Triều Tiên dùng thủ đoạn nhân sự: giả làm ứng viên, nhà tuyển dụng, gửi mã độc, hối lộ nhân viên và nhà thầu.
- Coinbase áp dụng đào tạo trực tiếp, yêu cầu quốc tịch Hoa Kỳ và lấy dấu vân tay cho quyền truy cập nhạy cảm.
- SEAL công bố kho 60 hồ sơ giả mạo; Chainalysis ghi nhận 1,34 tỷ USD bị đánh cắp năm 2024, tăng 102% so với 2023.
Vì sao xuất hiện cảnh báo mới về hacker Triều Tiên giả mạo IT?
CZ cảnh báo trên X rằng hacker Triều Tiên đang tìm cách lọt vào các công ty tiền điện tử qua cơ hội tuyển dụng và hối lộ nhân viên để lấy quyền truy cập dữ liệu. Coinbase trước đó cũng ghi nhận làn sóng tấn công mới, cho thấy mối đe dọa đang leo thang.
Các nhóm tấn công nhắm thẳng vào chuỗi cung ứng nhân sự và vận hành: phòng tuyển dụng, đội phát triển, hỗ trợ khách hàng. Khi chiếm được thiết bị của nhân viên hoặc nhà thầu, chúng mở rộng đặc quyền, di chuyển ngang, đánh cắp khóa và dữ liệu nhạy cảm.
“Chúng giả làm nhà tuyển dụng để phỏng vấn hoặc mời chào nhân viên của bạn. Trong buổi phỏng vấn, chúng sẽ nói Zoom gặp trục trặc và gửi một liên kết cập nhật, chứa mã độc chiếm quyền thiết bị của nhân viên.”
– Changpeng Zhao, Đồng sáng lập Binance, thứ 5, nguồn: X (x.com/cz_binance)
Hacker đang dùng những thủ đoạn nào để xâm nhập?
CZ cho biết chúng giả làm ứng viên cho các vị trí phát triển, bảo mật, tài chính để có “chỗ đứng”. Chúng còn mạo danh nhà tuyển dụng, gửi “cập nhật Zoom” chứa mã độc, hoặc đưa “mẫu code” nhiễm độc sau khi cho bài tập lập trình.
Một số kịch bản khác gồm giả làm người dùng gửi liên kết độc hại cho bộ phận hỗ trợ, và hối lộ nhân viên, nhà thầu để đổi quyền truy cập dữ liệu. Các thủ đoạn này khai thác cả yếu tố con người lẫn lỗ hổng quy trình.
Doanh nghiệp cần làm gì ngay theo khuyến nghị của CZ?
CZ nhấn mạnh đào tạo nhân viên không tải tệp lạ và sàng lọc ứng viên kỹ. Việc chuẩn hóa quy trình nhận, mở tệp; cách ly môi trường phỏng vấn kỹ thuật; và kiểm soát đặc quyền theo nguyên tắc tối thiểu là nền tảng để giảm thiểu rủi ro chiếm quyền.
Với đội hỗ trợ, cần chặn liên kết nhúng, dùng môi trường duyệt an toàn. Với kỹ sư, yêu cầu môi trường sandbox cho bài test, kiểm soát tải thực thi. Tất cả truy cập nhạy cảm nên qua thiết bị quản trị tập trung và xác thực đa yếu tố.
Coinbase đã siết chặt an ninh nội bộ như thế nào?
Coinbase triển khai đào tạo trực tiếp tại Hoa Kỳ cho toàn bộ nhân sự, còn người có quyền truy cập hệ thống nhạy cảm phải có quốc tịch Hoa Kỳ và lấy dấu vân tay. Đây là lớp kiểm soát nhân sự mạnh để chặn rủi ro nội gián và danh tính giả.
Động thái này phù hợp nguyên tắc tối thiểu đặc quyền và phân tách nhiệm vụ trong các môi trường tài chính. Khi kẻ tấn công gia tăng kỹ thuật social, các biện pháp xác minh nhân thân, tuân thủ, và đào tạo tại chỗ giúp thu hẹp bề mặt tấn công.
“Chúng tôi có thể phối hợp với cơ quan thực thi pháp luật […] nhưng có cảm giác mỗi quý lại có khoảng 500 người tốt nghiệp từ một trường nào đó, và đó là công việc toàn thời gian của họ.”
– Brian Armstrong, CEO Coinbase, trong podcast Cheeky Pint, nguồn: YouTube
Security Alliance (SEAL) đã phát hiện gì về mạng lưới giả mạo?
Nhóm hacker mũ trắng SEAL tập hợp ít nhất 60 hồ sơ điệp viên Triều Tiên giả danh nhân sự IT để tìm cách vào sàn tại Hoa Kỳ và đánh cắp dữ liệu người dùng. Kho dữ liệu gồm bí danh, email, website, quốc tịch giả, địa chỉ, vị trí và số công ty đã thuê.
SEAL còn liệt kê mức lương, hồ sơ GitHub và các liên kết công khai liên quan cho từng đối tượng. Tháng 6, bốn đặc vụ Triều Tiên đã xâm nhập nhiều startup tiền điện tử dưới dạng lập trình viên tự do, trộm tổng cộng 900.000 USD, theo Cointelegraph.
SEAL là ai và hoạt động ra sao?
SEAL do hacker mũ trắng kiêm nhà nghiên cứu Paradigm Samczsun dẫn dắt. Trong vòng một năm sau khi ra mắt, SEAL tiến hành hơn 900 cuộc điều tra liên quan hack, phản ánh nhu cầu ngày càng lớn với lực lượng phòng thủ đạo đức, theo Cointelegraph (8/2024).
SEAL cũng công bố “Safe Harbor Agreement” nhằm khuyến khích cộng đồng báo cáo, phối hợp xử lý sự cố an toàn. Cách tiếp cận cộng đồng giúp phát hiện sớm hồ sơ giả mạo, giảm thiểu rủi ro xâm nhập theo chuỗi cung ứng nhân sự.
Thiệt hại do hacker Triều Tiên năm 2024 tăng mạnh
Những nhóm như Lazarus bị nghi đứng sau nhiều vụ tấn công lớn, bao gồm vụ Bybit 1,4 tỷ USD, được cho là lớn nhất ngành tới nay. Dữ liệu Chainalysis ghi nhận hacker Triều Tiên đã lấy hơn 1,34 tỷ USD trong 47 vụ năm 2024, tăng 102% so với 660 triệu USD năm 2023.
Con số này cho thấy mức độ chuyên nghiệp, quy mô và nhịp độ hoạt động tăng nhanh. Khi kỹ thuật social kết hợp mã độc và hối lộ nội bộ, các tổ chức cần chuyển từ tư duy phòng thủ ngoại vi sang mô hình zero-trust trên cả con người, thiết bị và dữ liệu. Nguồn: Chainalysis (2025).
Bảng tóm tắt cảnh báo và biện pháp từ các bên
| Bên liên quan | Điểm chính | Biện pháp/Phát hiện | Nguồn |
|---|---|---|---|
| Binance/CZ | Hacker giả mạo ứng viên, nhà tuyển dụng; gửi mã độc qua “cập nhật Zoom”, hối lộ nhân viên | Đào tạo nhân viên không tải tệp lạ, sàng lọc ứng viên kỹ | X của CZ |
| Coinbase | Làn sóng tấn công mới nhắm vào nhân sự | Đào tạo trực tiếp tại Hoa Kỳ; quyền truy cập nhạy cảm yêu cầu quốc tịch Hoa Kỳ và lấy dấu vân tay | Podcast Cheeky Pint; thông tin Coinbase |
| SEAL | Công bố 60 hồ sơ IT giả mạo Triều Tiên | Kho dữ liệu gồm bí danh, email, website, quốc tịch giả, địa chỉ, GitHub, mức lương | X của SEAL; lazarus.group/team |
| Chainalysis | Thiệt hại 2024 tăng mạnh | 1,34 tỷ USD, 47 vụ; tăng 102% so với 2023 (660 triệu USD) | Chainalysis (2025) |
Doanh nghiệp nên làm gì ngay để giảm rủi ro?
Ưu tiên quản trị nhân sự và thiết bị: xác minh danh tính nhiều lớp, cách ly môi trường phỏng vấn kỹ thuật, cấm tải thực thi từ liên kết ngoài, kiểm soát đặc quyền tối thiểu. Chuẩn hóa quy trình xử lý tệp và liên kết ở bộ phận hỗ trợ, triển khai xác thực đa yếu tố.
Rà soát ứng viên theo kho dữ liệu SEAL, kiểm tra hồ sơ GitHub, lịch sử đóng góp và tính nhất quán danh tính. Tăng cường đào tạo nhận diện kỹ thuật social cho toàn bộ nhân sự, đặc biệt team tuyển dụng, kỹ thuật và hỗ trợ, kết hợp kiểm toán quyền truy cập định kỳ.
Những câu hỏi thường gặp
Vì sao hacker Triều Tiên nhắm tới công ty tiền điện tử?
Tiền điện tử có thanh khoản cao và dễ chuyển xuyên biên giới. Chainalysis ghi nhận 1,34 tỷ USD tài sản số bị đánh cắp năm 2024 trong 47 vụ, tăng 102% so với 2023, cho thấy mục tiêu hấp dẫn và kỹ thuật tấn công ngày càng tinh vi.
Dấu hiệu nhận biết ứng viên IT giả mạo là gì?
Hồ sơ thiếu nhất quán, quốc tịch/địa chỉ mâu thuẫn, thúc giục mở tệp thực thi hoặc “cập nhật” công cụ họp, gửi “mẫu code” yêu cầu chạy local, né quy trình background check và phỏng vấn trực tiếp, dùng email/portfolio mới lập.
SEAL là tổ chức nào, kho dữ liệu giúp gì?
SEAL là nhóm hacker mũ trắng do Samczsun dẫn dắt. Kho dữ liệu liệt kê 60 hồ sơ giả mạo: bí danh, email, website, quốc tịch giả, địa chỉ, GitHub, mức lương và số công ty đã thuê, giúp nhà tuyển dụng đối chiếu và loại trừ sớm.
Coinbase đã áp dụng biện pháp gì nổi bật?
Đào tạo trực tiếp tại Hoa Kỳ cho toàn bộ nhân sự, yêu cầu quốc tịch Hoa Kỳ và lấy dấu vân tay với truy cập hệ thống nhạy cảm, nhằm giảm rủi ro nội gián và danh tính giả trong chuỗi tuyển dụng.
Lazarus có liên quan tới vụ việc lớn nào?
Lazarus bị nghi liên quan nhiều vụ đánh cắp lớn, trong đó có vụ Bybit ước 1,4 tỷ USD. Dù chi tiết kỹ thuật thường được điều tra thêm, các cơ quan phân tích quy kết theo mẫu hành vi và hạ tầng tấn công đã biết.
