Lazarus tấn công bằng mã độc tiền điện tử mới

Nhóm hacker Lazarus của Triều Tiên đã bị phát hiện liên quan đến một cuộc tấn công mới sử dụng sáu gói npm độc hại nhằm triển khai cửa hậu để đánh cắp thông tin đăng nhập của người dùng. Những gói độc hại này không chỉ nhắm vào thông tin tiền điện tử mà còn trộm cắp dữ liệu từ các ví Solana và Exodus. Cuộc tấn công tập trung vào việc chiếm đoạt dữ liệu từ các tệp trình duyệt Google Chrome, Brave, và Firefox, cũng như dữ liệu keychain của macOS. Các nhà phát triển có thể cài đặt nhầm những gói độc hại này thông qua phương pháp mạo danh tên gọi (typosquatting), nghĩa là sử dụng các tên sai chính tả để đánh lừa.

Các gói độc hại bao gồm: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency, và auth-validator. Do đó, khả năng mã độc bị sử dụng rất cao khi các dự án này trá hình dưới dạng các dự án mã nguồn mở hợp pháp. Tổng số lượt tải xuống của các gói này đã vượt quá 330 lần.

Nhóm nghiên cứu Socket đã có động thái yêu cầu xóa bỏ các gói này và báo cáo các kho lưu trữ GitHub cũng như tài khoản người dùng có liên quan. Lazarus không chỉ nổi tiếng với cuộc tấn công Bybit trị giá 1,4 tỷ USD gần đây, mà còn liên quan đến vụ hack 41 triệu USD của Stake và 27 triệu USD của CoinEx, cùng vô số cuộc tấn công khác trong ngành tiền điện tử.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.