Vụ tấn công mạng của Bắc Triều Tiên vào dự án mã nguồn mở phổ biến có thể đã được chuẩn bị trong nhiều tuần

Vụ tin tặc Bắc Triều Tiên tấn công một trong những dự án mã nguồn mở được sử dụng nhiều nhất trên web có thể đã được chuẩn bị trong nhiều tuần

Một cuộc tấn công mạng của Bắc Triều Tiên vào thứ Hai tuần trước đã chớp nhoáng chiếm quyền kiểm soát một trong những dự án mã nguồn mở được sử dụng rộng rãi nhất trên web, đây là kết quả của quá trình chuẩn bị kéo dài hàng tuần nằm trong một chiến dịch lâu dài nhắm vào các nhà phát triển hàng đầu của mã này. Vụ chiếm quyền kiểm soát dự án Axios vào ngày 31 tháng 3 đã thành công một phần vì nó dựa vào việc tin tặc có nguồn lực tốt xây dựng mối quan hệ và lòng tin với mục tiêu dự định của họ trong một thời gian dài để tăng cơ hội thỏa hiệp cuối cùng thành công.

Loại tấn công này làm nổi bật những thách thức bảo mật mà các nhà phát triển của các dự án mã nguồn mở phổ biến có thể phải đối mặt, vào thời điểm tin tặc chính phủ và tội phạm mạng đều nhắm mục tiêu vào các dự án được sử dụng rộng rãi vì khả năng truy cập, trong một số trường hợp, hàng triệu thiết bị trên toàn thế giới. Jason Saayman, người duy trì dự án Axios phổ biến mà các nhà phát triển sử dụng để kết nối ứng dụng của họ với internet, đã cung cấp bản phân tích chi tiết với dòng thời gian của vụ tấn công.

Ông chia sẻ rằng tin tặc bắt đầu chiến dịch nhắm mục tiêu của họ khoảng hai tuần trước khi cuối cùng giành quyền kiểm soát máy tính của ông để đẩy mã độc. Bằng cách đóng giả một công ty thực sự, tạo một không gian làm việc Slack trông thật, và sử dụng hồ sơ giả mạo của nhân viên của họ để xây dựng uy tín, Saayman cho biết những tin tặc bị nghi ngờ là người Bắc Triều Tiên sau đó đã mời ông tham gia một cuộc họp trực tuyến, thúc đẩy ông tải xuống phần mềm độc hại ngụy trang dưới dạng bản cập nhật cần thiết để truy cập cuộc gọi.

Saayman cho biết mồi nhử này mô phỏng một kỹ thuật được sử dụng bởi tin tặc Bắc Triều Tiên, kỹ thuật này đánh lừa các nạn nhân tiềm năng cấp cho tin tặc quyền truy cập từ xa vào hệ thống của họ, thường là để đánh cắp tiền điện tử của họ. Saayman cho biết cuộc tấn công này mô phỏng các cuộc tấn công trước đó được các nhà nghiên cứu bảo mật tại Google cho là do Bắc Triều Tiên thực hiện. Sau khi thỏa hiệp và giành quyền truy cập từ xa vào máy tính của Saayman, tin tặc sau đó đã phát hành các bản cập nhật độc hại cho dự án Axios.

Hai gói Axios độc hại, bị gỡ xuống khoảng ba giờ sau khi chúng được xuất bản lần đầu tiên vào ngày 31 tháng 3, có thể đã lây nhiễm cho hàng nghìn hệ thống trong khoảng thời gian đó, mặc dù phạm vi đầy đủ của cuộc tấn công hàng loạt vẫn chưa hoàn toàn rõ ràng. Bất kỳ máy tính nào đã cài đặt phiên bản phần mềm độc hại trong thời gian này có thể đã cho phép tin tặc đánh cắp khóa riêng tư, thông tin đăng nhập và mật khẩu của họ từ máy tính đó, điều này có thể dẫn đến các vi phạm tiếp theo.

Saayman đã không trả lời ngay lập tức một email với các câu hỏi về sự cố. Tin tặc Bắc Triều Tiên vẫn là một trong những mối đe dọa mạng tích cực nhất trên internet ngày nay, bị đổ lỗi cho hành vi trộm cắp ít nhất 2 tỷ đô la tiền điện tử chỉ riêng trong năm 2025. Chế độ Kim Jong Un vẫn đang chịu các lệnh trừng phạt quốc tế và bị cấm tham gia mạng lưới tài chính toàn cầu vì vi phạm lệnh cấm đối với chương trình phát triển vũ khí hạt nhân của mình, chương trình mà nước này tài trợ phần lớn bằng cách tung ra các cuộc tấn công mạng và đánh cắp tiền điện tử.

Bắc Triều Tiên được cho là có hàng nghìn tin tặc được tổ chức chặt chẽ — phần lớn trong số họ đang làm việc trái với ý muốn của họ dưới chế độ Kim áp bức. Những tin tặc này dành hàng tuần hoặc hàng tháng để thực hiện các cuộc tấn công kỹ thuật xã hội phức tạp nhằm mục đích giành được lòng tin và cuối cùng là quyền truy cập, để đánh cắp tiền điện tử và dữ liệu để tống tiền nạn nhân của họ.

Zack Whittaker là biên tập viên bảo mật tại TechCrunch. Ông cũng là tác giả của bản tin an ninh mạng hàng tuần, *tuần này trong an ninh*. Có thể liên hệ với ông qua tin nhắn được mã hóa tại zackwhittaker.1337 trên Signal. Bạn cũng có thể liên hệ với anh ấy qua email, hoặc để xác minh phạm vi tiếp cận, tại zack.whittaker@techcrunch.com.