Một bot copy trading Polymarket bị cảnh báo cài mã độc trên GitHub: khi chạy sẽ tự đọc file .env chứa private key ví và gửi về server của hacker để đánh cắp khóa.
Cảnh báo được lan truyền sau khi 23pds, Giám đốc an ninh thông tin của SlowMist Technology, repost nội dung từ cộng đồng về rủi ro mã độc bị che giấu trong mã nguồn bot giao dịch.
- Bot copy trading Polymarket bị tố nhúng mã độc trong repo GitHub.
- Chương trình đọc file .env và gửi private key về server hacker.
- Tác giả sửa/commit nhiều lần để che giấu gói độc hại.
Cách mã độc đánh cắp private key từ dự án GitHub
Mã độc được giấu trong code của một chương trình bot copy trading Polymarket; khi khởi chạy, nó tự động đọc file .env và exfiltrate dữ liệu sang server của hacker.
Theo nội dung cảnh báo, file .env của người dùng chứa private key của ví tiền điện tử. Chương trình, ngay khi chạy, sẽ truy xuất file này và gửi private key đến một máy chủ do hacker kiểm soát, từ đó tạo điều kiện để chiếm đoạt ví.
Điểm đáng chú ý là tác giả chương trình liên tục chỉnh sửa và commit mã lên GitHub để cố tình che giấu gói độc hại. Điều này khiến người dùng khó phát hiện nếu chỉ xem lướt lịch sử thay đổi hoặc tin tưởng vào repo mã nguồn mở mà không rà soát kỹ các phụ thuộc và hành vi runtime.
Cảnh báo từ SlowMist và rủi ro lặp lại
23pds cho biết đây không phải lần đầu xuất hiện chiêu thức giấu mã độc trong công cụ giao dịch, và khả năng sẽ tiếp diễn trong tương lai.
Nội dung cảnh báo được 23pds, Chief Information Security Officer của SlowMist Technology, retweet lại từ một người dùng cộng đồng vào ngày 21/12. Trọng tâm là kịch bản tấn công nhắm vào người dùng chạy bot copy trading từ GitHub, đặc biệt nếu hệ thống lưu private key trong .env.
This is not the first time, and it won’t be the last.
