Các tội phạm mạng đang tìm kiếm các vector tấn công mới để nhắm vào người dùng ví Atomic và Exodus thông qua kho phần mềm nguồn mở.
Cuộc tấn công mới nhất là phân phối các gói chứa mã độc để đánh cắp khóa riêng và chiếm đoạt tài sản kỹ thuật số.
Hacker nhắm vào ví Atomic và Exodus
Công ty an ninh mạng ReversingLabs đã phát hiện một chiến dịch độc hại trong đó các đối tượng đã xâm phạm các thư viện Trình quản lý gói Node (NPM).
Các thư viện này thường được ngụy trang thành các công cụ hợp pháp như trình chuyển đổi PDF-Office và chứa mã độc ẩn. Sau khi cài đặt, mã độc sẽ thực hiện một cuộc tấn công nhiều giai đoạn.
Đầu tiên, phần mềm sẽ quét các ví tiền điện tử trên thiết bị bị nhiễm. Sau đó, nó sẽ chèn mã độc vào hệ thống. Điều này bao gồm một trình đánh cắp clipboard có thể thay đổi địa chỉ ví một cách âm thầm trong quá trình giao dịch để chuyển tiền sang ví do kẻ tấn công kiểm soát.
Ngoài ra, mã độc còn thu thập thông tin chi tiết về hệ thống và theo dõi mức độ thành công của từng mục tiêu. Thông tin này giúp các đối tượng cải thiện phương pháp và mở rộng các cuộc tấn công trong tương lai một cách hiệu quả hơn.
Đồng thời, ReversingLabs cũng lưu ý rằng mã độc duy trì tính liên tục. Ngay cả khi các gói lừa đảo như PDF-Office bị xóa, các mảnh mã độc vẫn còn ở trạng thái hoạt động.
Để làm sạch hoàn toàn hệ thống, người dùng cần gỡ bỏ phần mềm ví tiền điện tử bị ảnh hưởng và cài đặt lại từ các nguồn đáng tin cậy.
Thực tế, các chuyên gia an ninh nhấn mạnh rằng phạm vi đe dọa cho thấy sự gia tăng rủi ro chuỗi cung ứng phần mềm đang đe dọa ngành.
"Tần suất và sự tinh vi của các cuộc tấn công chuỗi cung ứng nhắm vào ngành tiền điện tử là một tín hiệu cảnh báo về các mối nguy hiểm sắp tới trong các ngành khác. Và đây là bằng chứng bổ sung cho việc các tổ chức cần cải thiện khả năng giám sát các mối đe dọa và cuộc tấn công vào chuỗi cung ứng phần mềm," ReversingLabs cho biết.
Trong tuần này, các nhà nghiên cứu Kaspersky đã báo cáo một chiến dịch tương tự sử dụng SourceForge. Các tội phạm mạng đã tải lên các trình cài đặt Microsoft Office giả mạo chứa mã độc.
Các tệp bị nhiễm này chứa trình đánh cắp clipboard và trình khai thác tiền điện tử, giả dạng như phần mềm hợp pháp để âm thầm xâm phạm ví.
Những sự việc này nhấn mạnh sự gia tăng việc lạm dụng nguồn mở, cho thấy xu hướng đáng lo ngại của các đối tượng trong việc che giấu mã độc trong các gói phần mềm được tin cậy.
Xét đến tầm quan trọng của những cuộc tấn công này, người dùng và nhà phát triển tiền điện tử cần duy trì cảnh giác, xác minh các nguồn phần mềm và triển khai các thực hành bảo mật mạnh để giảm thiểu các mối đe dọa gia tăng.
Theo DeFi Llama, chỉ trong quý 1 năm 2025 đã có hơn 1,5 tỷ đô la tài sản tiền điện tử bị mất do các cuộc tấn công. Sự cố lớn nhất là vụ xâm phạm Bybit trị giá 1,4 tỷ đô la vào tháng 2.
