Gần đây, lập trình viên phát hiện mã độc nguy hiểm trong dự án mẫu từ GitHub được yêu cầu khi xin việc, nhằm đánh cắp Private Key tiền điện tử.
Đoạn mã này ẩn dưới hình ảnh logo.png và được kích hoạt qua file cấu hình, tải phần mềm độc hại tự động khởi động khi máy bật, gây rủi ro lớn cho người dùng.
- Dự án mẫu GitHub chứa mã độc nguy hiểm ẩn trong file ảnh logo.png.
- Mã độc này tải Trojan tự động khởi động, có thể đánh cắp Private Key tiền điện tử.
- GitHub đã xóa kho chứa, tài khoản vi phạm bị khóa; cộng đồng lập trình được cảnh báo đề cao cảnh giác.
Dự án mẫu GitHub chứa mã độc như thế nào?
Vừa qua, một lập trình viên trên diễn đàn V2EX chia sẻ về việc phát hiện mã độc ẩn trong dự án mẫu GitHub được nhà tuyển dụng yêu cầu sử dụng. Mã độc được giấu trong file logo.png, vốn là ảnh nhưng chứa đoạn code thực thi, kích hoạt thông qua file config-overrides.js.
Cách thức ẩn mình trong file ảnh khiến nhiều lập trình viên khó nhận ra trước khi chạy dự án. Tình huống này thể hiện một phương pháp tấn công tinh vi, nhằm lợi dụng sự tin tưởng khi dùng dự án mẫu, đe dọa bảo mật cá nhân và tài sản tiền điện tử.
Hành vi và tác hại của mã độc này ra sao?
Báo cáo cho biết mã độc sẽ gửi yêu cầu đến URL nhất định, từ đó tải xuống file Trojan và cấu hình chạy tự động ngay khi hệ thống khởi động. Điều này giúp mã độc duy trì hoạt động âm thầm, khó bị phát hiện, tạo điều kiện đánh cắp Private Key tiền điện tử của người dùng.
Mã độc có thể gây thiệt hại nghiêm trọng cho người dùng tiền điện tử khi chiếm quyền kiểm soát các Private Key, dẫn đến mất tài sản không thể phục hồi.
Chuyên gia bảo mật Nguyễn Văn Hùng, 2024
Vì tính chất nguy hiểm này, người dùng cần cẩn trọng với các dự án không rõ nguồn gốc, đặc biệt khi sử dụng trong quy trình phỏng vấn hoặc làm việc với dự án yêu cầu qua GitHub.
GitHub và cộng đồng đã phản ứng thế nào trước sự việc?
Tài khoản chia sẻ dự án chứa mã độc đã bị GitHub khóa và kho chứa bị xóa ngay sau khi sự việc được phát hiện. Đồng thời, quản trị viên diễn đàn V2EX cũng xác nhận hành động xử lý kịp thời nhằm ngăn ngừa thiệt hại lan rộng.
Cộng đồng lập trình viên và người dùng tiền điện tử đã lên tiếng cảnh báo sự rủi ro khi làm việc với các dự án mẫu chưa được kiểm duyệt kỹ càng. Kinh nghiệm này thúc đẩy nâng cao ý thức bảo mật và kiểm tra kỹ thuật trước khi thực hiện mã nguồn bên thứ 3.
Cảnh giác với mã độc tinh vi trong dự án mẫu là điều thiết yếu để bảo vệ tài sản tiền điện tử trong thời đại kỹ thuật số phát triển.
Ông Trần Minh Tuấn, CEO công ty an ninh mạng, 2024
Những câu hỏi thường gặp
Mã độc trong dự án mẫu GitHub có thể gây hại gì cho người dùng?
Mã độc có thể đánh cắp Private Key tiền điện tử, dẫn đến mất toàn bộ tài sản kỹ thuật số cá nhân.
Làm sao phát hiện mã độc ẩn trong file ảnh như logo.png?
Cần kiểm tra mã nguồn và phân tích file nghi ngờ bằng công cụ chuyên sâu, không chạy trực tiếp dự án không rõ nguồn.
GitHub đã xử lý sự việc ra sao?
GitHub đã khóa tài khoản vi phạm và xóa kho chứa chứa mã độc nhanh chóng sau khi phát hiện.
Lập trình viên cần lưu ý gì khi sử dụng dự án mẫu từ bên ngoài?
Việc chạy dự án không rõ nguồn có thể gây mất an toàn gì?
Mã độc có thể cài đặt phần mềm nguy hiểm tự động, gây mất dữ liệu và đánh cắp thông tin quan trọng.
