Nhóm giả danh nhà phát triển đã đánh cắp 680.000 USD từ sàn fan Token Favrr vào tháng 6/2025, bị bóc trần khi một thiết bị trong nhóm bị phản công chiếm quyền.
Điều tra hé lộ 6 điệp viên mang ít nhất 31 danh tính giả, dùng hồ sơ LinkedIn/Upwork mua sẵn, ID chính phủ giả, thậm chí mạo danh nhân sự Polygon Labs, OpenSea, Chainlink để thâm nhập từ bên trong.
- Xâm nhập từ bên trong qua việc làm từ xa: dùng hồ sơ giả, phỏng vấn kịch bản, truy cập ví và hệ thống khách hàng.
- Dấu vết số và on-chain khớp nhau: thiết bị bị phản hack, tài liệu nội bộ và ví liên quan trực tiếp vụ Favrr 680.000 USD.
- Bối cảnh rộng: chiến dịch nhà nước hậu thuẫn phối hợp tấn công lớn và cài cắm nội gián thông qua việc làm IT từ xa.
Vụ tấn công Favrr 2025 là gì?
Đây là vụ trộm 680.000 USD trên marketplace fan Token Favrr tháng 6/2025, thực hiện bởi nhóm tự xưng là nhà phát triển blockchain và bị lộ khi một thiết bị trong nhóm bị phản công.
Kết quả điều tra cho thấy 6 tác nhân có ít nhất 31 danh tính giả, dùng ID giả, số điện thoại và hồ sơ LinkedIn/Upwork mua sẵn để xây dựng uy tín. Một số còn mạo danh nhân sự từ các tên tuổi lớn, qua đó nhận vai trò phát triển và tiếp cận ví, hệ thống nội bộ.
Điều gì đã dẫn tới việc phát hiện vụ hack?
Một nguồn ẩn danh đã chiếm quyền một thiết bị của nhóm, lộ ra bộ sưu tập chứng cứ gồm ảnh chụp màn hình, xuất dữ liệu Google Drive và hồ sơ Chrome, phơi bày cách thức phối hợp.
Các tệp này cho thấy 6 người điều hành ít nhất 31 danh tính. Quy trình vận hành được ghi chép chi tiết bằng bảng tính theo dõi chi phí, deadline, cùng dịch song ngữ nhờ Google Translate. Điều tra viên on-chain ZachXBT truy vết dòng tiền và xác định ví liên quan chặt chẽ tới vụ Favrr tháng 6/2025, củng cố bức tranh xâm nhập có chủ đích ở cấp độ nhà phát triển.
Nhóm tấn công đã dựng các danh tính nhà phát triển giả mạo như thế nào?
Họ vượt xa mức tạo nickname: mua tài khoản LinkedIn/Upwork, ID do chính phủ cấp, số điện thoại, và xây dựng lịch sử chuyên môn giả thuyết phục.
Một số thành viên mạo danh kỹ sư full-stack, gắn mác kinh nghiệm tại OpenSea, Chainlink, thậm chí phỏng vấn cho vị trí ở Polygon Labs. Nhóm chuẩn bị sẵn kịch bản phỏng vấn theo từng nhân vật, tùy biến câu trả lời để vượt vòng sàng lọc. Nhờ lớp vỏ bọc nhiều tầng, họ giành được vai trò phát triển, truy cập hệ thống nhạy cảm và ví, hành động từ bên trong nhưng ẩn sau “avatar” được dàn dựng kỹ lưỡng.
Họ sử dụng công cụ và chiến thuật nào để ẩn mình?
Sự tinh vi nằm ở việc dàn dựng bằng các công cụ phổ biến: Google Drive, hồ sơ Chrome, bảng tính quản trị nhiệm vụ, ngân sách — tất cả ghi bằng tiếng Anh, được hỗ trợ dịch thuật.
Họ phối hợp nội bộ ra sao để che giấu dấu vết?
Nhóm dùng bảng tính để phân công công việc, lịch trình, ngân sách; chia sẻ qua Drive và đồng bộ trên hồ sơ Chrome theo từng danh tính. Google Translate giúp “đánh bóng” giao tiếp tiếng Anh, giảm rủi ro lộ nguồn gốc. Họ dùng AnyDesk và VPN để truy cập từ xa, che vị trí thực, thậm chí thuê máy tính nhằm tăng lớp ngụy trang.
Ngân sách và hạ tầng được đầu tư như thế nào?
Tài liệu rò rỉ cho thấy chi tiêu vận hành đáng kể. Riêng tháng 5/2025, nhóm chi 1.489,80 USD cho VPN, thiết bị thuê, hạ tầng phục vụ duy trì nhiều danh tính. Đằng sau lớp vỏ “hợp tác chuyên nghiệp” là hệ thống quản trị dự án kiểu doanh nghiệp, hỗ trợ xâm nhập sâu, có đủ chi phí thực tế và công cụ che đậy.
Vì sao hạ tầng làm việc từ xa trở thành điểm xâm nhập?
Họ nộp đơn xin việc thật trên Upwork, LinkedIn và nền tảng freelance, dùng hồ sơ trau chuốt, CV tùy biến và kịch bản phỏng vấn để đạt vai trò dev, từ đó truy cập ví và hệ thống theo quy trình “nhân viên từ xa”.
Mô hình này phản ánh xu hướng rộng hơn: các nhóm IT được hậu thuẫn có thể vượt qua kiểm tra nền tảng, tham chiếu bằng công cụ deepfake và CV tăng cường AI, cung cấp dịch vụ hợp pháp bề ngoài nhưng mở đường cho hoạt động độc hại. Theo các cuộc điều tra, đến năm 2024, khoảng 8.400 nhân sự mạng có liên hệ Triều Tiên hoạt động toàn cầu dưới dạng lao động từ xa, tạo dòng tiền bất hợp pháp.
Bối cảnh rộng hơn cho thấy gì về các chiến dịch nhà nước hậu thuẫn?
Tháng 2/2025, Lazarus Group (bí danh TraderTraitor) thực hiện vụ trộm được mô tả là lớn nhất với khoảng 1,5 tỷ USD Ether từ sàn Bybit trong quá trình chuyển ví định kỳ; FBI xác nhận và khuyến nghị chặn các địa chỉ đáng ngờ, đặt vụ việc trong chiến lược tài trợ chế độ.
Bên cạnh cướp đoạt quy mô lớn, các nhóm còn dùng thủ đoạn tinh vi: một số công ty vỏ bọc tại Hoa Kỳ như Blocknovas, Softglide bị các nhà nghiên cứu (ví dụ Silent Push) chỉ ra đã phát tán mã độc qua đề nghị việc làm giả cho nhà phát triển tiền điện tử. Nạn nhân bị cài BeaverTail, InvisibleFerret, OtterCookie để chiếm quyền và đánh cắp thông tin xác thực. Nguy cơ kép: tấn công sàn công khai và cài cắm nội gián thầm lặng.
Tổn thất tiền điện tử giai đoạn gần đây phản ánh điều gì?
Năm 2024, tin tặc có liên hệ Triều Tiên bị quy kết lấy khoảng 1,34 tỷ USD, chiếm 60% tổng thất thoát toàn cầu, trải rộng 47 vụ — gấp đôi năm trước. Con số nhấn mạnh mức độ công nghiệp hóa của chuỗi hoạt động, từ tuyển dụng giả mạo, rửa tiền nhiều tầng, tới tấn công ví và hạ tầng.
Các cơ quan và tổ chức phân tích tội phạm tiền điện tử nhiều lần cảnh báo xu hướng dịch chuyển từ lừa đảo email/mã độc thuần túy sang chiếm quyền truy cập hợp pháp, thông qua việc làm từ xa và chuỗi cung ứng phần mềm. Đây là vùng rủi ro cần ưu tiên kiểm soát truy cập, phân quyền và giám sát.
Doanh nghiệp có thể phòng vệ ra sao trước chiêu mộ “dev ma”?
Áp dụng xác minh danh tính chất lượng cao, kiểm tra thiết bị và quyền truy cập theo ngữ cảnh; tách biệt hạ tầng quan trọng và ví, thực thi nguyên tắc đặc quyền tối thiểu, giám sát hoạt động từ xa và ký code/triển khai có kiểm soát.
Khuyến nghị thực tiễn có thể tham chiếu từ CISA Cross-Sector Cybersecurity Performance Goals 2023, NIST SSDF SP 800-218 và hướng dẫn bảo vệ danh tính số NIST SP 800-63. Với môi trường tiền điện tử, bắt buộc multisig/hardware wallet, kiểm soát release theo bốn mắt, rà soát phụ thuộc phần mềm, và kiểm toán on-chain định kỳ là các lớp phòng tuyến quan trọng.
Chiến thuật tấn công và biện pháp phòng vệ khuyến nghị có gì tương ứng?
Dưới đây là đối sánh nhanh giữa chiêu thức thường gặp và kiểm soát nên áp dụng để giảm thiểu rủi ro xâm nhập qua việc làm từ xa.
| Chiêu thức của kẻ tấn công | Biện pháp phòng vệ khuyến nghị |
|---|---|
| Hồ sơ LinkedIn/Upwork giả, tham chiếu dàn dựng | eKYC nâng cao, video liveness, xác minh giấy tờ chéo với cơ sở dữ liệu công, kiểm tra tham chiếu qua kênh độc lập |
| AnyDesk/VPN che giấu vị trí | CASB/ZTNA kiểm tra tư thế thiết bị, chặn RMM trái phép, phát hiện địa lý bất thường và tốc độ di chuyển |
| Truy cập ví sản xuất | Multisig, ví phần cứng, phân tách môi trường, hạn mức và whitelisting địa chỉ rút |
| Phát tán mã độc qua offer việc | Kiểm duyệt tệp/ứng dụng, EDR, chính sách tải xuống tối thiểu, sandbox mã nguồn bên thứ 3 |
| Leo thang đặc quyền trong CI/CD | Phân quyền tinh gọn, ký commit/artefact, phê duyệt code bốn mắt, SBOM và rà soát phụ thuộc |
Những câu hỏi thường gặp
Favrr là gì và thiệt hại bao nhiêu?
Favrr là marketplace fan Token. Vụ việc tháng 6/2025 gây thất thoát 680.000 USD khi nhóm giả danh nhà phát triển chiếm quyền truy cập nội bộ và ví liên quan.
Nhóm tấn công đã bị phát hiện như thế nào?
Một thiết bị trong nhóm bị phản hack, lộ ảnh chụp, dữ liệu Drive, hồ sơ Chrome. Truy vết on-chain tiếp tục liên kết ví gắn chặt với số tiền bị chiếm.
Họ mạo danh những tổ chức nào?
Một số thành viên mạo danh ứng viên/nhân sự từng gắn với Polygon Labs, OpenSea, Chainlink để vượt vòng phỏng vấn và tạo độ tin cậy khi nhận việc từ xa.
Công cụ chính họ sử dụng là gì?
AnyDesk, VPN, Google Translate, bảng tính và hồ sơ Chrome đồng bộ danh tính. Chi phí vận hành tháng 5/2025 được ghi nhận khoảng 1.489,80 USD.
Làm thế nào để giảm rủi ro tuyển nhầm “dev ma”?
Áp dụng eKYC nâng cao, kiểm tra thiết bị, phân quyền tối thiểu, multisig/hardware wallet, quy trình ký code và phê duyệt bốn mắt, giám sát RMM và VPN bất thường.
