Các nhà nghiên cứu an ninh mạng tại Proofpoint đã phát hiện hai chiến dịch tấn công mạng mới có liên quan đến nhóm hacker Triều Tiên mang tên Contagious Interview (còn gọi là Famous Chollima, HexagonalRodent, Void Dokkaebi). Theo báo cáo công bố ngày 15/6/2026, nhóm này đã thực hiện các chiến dịch phishing với chủ đề tuyển dụng lập trình viên hoặc đánh giá mã nguồn, nhắm vào gần 100 tổ chức trong lĩnh vực tài chính, tiền mã hóa, giáo dục, công nghệ và nhiều ngành khác. Hoạt động này được đặt mã hiệu là UNK_DeadDrop.
Chiến dịch UNK_DeadDrop: Lây nhiễm qua GitHub và VS Code
Proofpoint cho biết chuỗi lây nhiễm bắt đầu bằng các email chứa liên kết đến kho lưu trữ GitHub do tin tặc kiểm soát, lưu trữ các tập lệnh độc hại. Các tập lệnh này thực thi mã độc đa nền tảng cho macOS, Linux và Windows, bao gồm một framework Go mã nguồn mở có tên Overlord. Điểm đáng chú ý là các dự án Microsoft Visual Studio Code (VS Code) sử dụng kỹ thuật "runOn: folderOpen" để kích hoạt mã độc mỗi khi trình soạn thảo được mở, mà không cần bất kỳ tương tác nào từ người dùng. Kỹ thuật này đã được nhóm Contagious Interview sử dụng từ tháng 12/2025.
Chiến dịch đã gửi hơn 250 email trong vòng sáu tuần đến các cá nhân tại gần 100 tổ chức. Hơn 75% mục tiêu nằm ở Mỹ, tiếp theo là Anh, Australia, Pháp, Brazil, Đức, Ấn Độ, Israel, Nhật Bản và Hà Lan. Email chứa liên kết đến các kho GitHub giả mạo dưới dạng bài tập kỹ thuật hoặc dự án liên quan đến tiền mã hóa, yêu cầu người nhận sao chép kho và mở trong VS Code hoặc Cursor, dẫn đến thực thi mã độc tải xuống cho Linux, macOS và Windows. Các mồi nhử tiếp theo được quan sát vào tháng 5/2026 đã chuyển hướng bằng cách yêu cầu nạn nhân đánh giá các dự án mã nguồn mở của họ.
Cơ chế hoạt động và mục tiêu cuối cùng
Trình tải mã độc là một shell script cho macOS và Linux, và VBScript cho Windows, được thiết kế để cài đặt một tiện ích mở rộng VS Code (VSIX) giả mạo dịch vụ Google hợp pháp. Tiện ích này giao tiếp với máy chủ bên ngoài để thực thi lệnh từ xa, trinh sát hệ thống và đánh cắp dữ liệu từ các tiện ích mở rộng ví trình duyệt, thông tin đăng nhập và ứng dụng ví máy tính. Trên Linux và macOS, chuỗi lây nhiễm dẫn đến một phiên bản tùy chỉnh của framework Overlord với khả năng đánh cắp dữ liệu, đồng thời yêu cầu người dùng nhập mật khẩu hệ thống qua cửa sổ bảo mật giả mạo. Trên Windows, VBScript chạy một tệp CMD để cài đặt tiện ích mở rộng.
Mục tiêu cuối cùng là đánh cắp thông tin đăng nhập và dữ liệu từ các tiện ích mở rộng ví trình duyệt và ứng dụng, sau đó gửi kết quả đến máy chủ (23.137.105[.]75:5173) qua yêu cầu HTTP POST. Proofpoint lưu ý rằng trên Windows, quy trình không duy trì kết nối liên tục mà tải lên các tệp ZIP, dọn dẹp và kết thúc. Phân tích sâu hơn cho thấy tin tặc trước đây đã phân phối tệp nhị phân Go của Overlord trên Windows, nhưng đã chuyển sang phương pháp mới để tránh bị phát hiện.
Proofpoint cho biết họ theo dõi UNK_DeadDrop riêng biệt với Contagious Interview do sự khác biệt trong phương pháp truy cập ban đầu (LinkedIn so với email) và việc sử dụng framework Overlord, khác với các dòng mã độc tùy chỉnh mà nhóm hacker Triều Tiên thường triển khai như BeaverTail, InvisibleFerret và OtterCookie. Công ty nhận định: "Hoạt động UNK_DeadDrop cho thấy các chiến dịch do Triều Tiên hậu thuẫn nhắm vào lập trình viên vì mục đích tài chính đang trưởng thành và phát triển. Việc chuyển từ kỹ thuật xã hội chủ động trên mạng xã hội sang các chiến dịch phishing quy mô lớn qua email có thể cho thấy tin tặc đang công nghiệp hóa và mở rộng hoạt động."
Phát hiện thêm: Ba tiện ích mở rộng VS Code độc hại trên Marketplace
Trong một diễn biến liên quan, công ty an ninh Yeeth Security phát hiện ba tiện ích mở rộng VS Code độc hại trên chợ chính thức: "ByteBinTools.jupyter-powerdev-2026.6.8.vsix", "ToolCraft.jupyter-powertools-3.21.0.vsix" và "OLDev.markdown-mode-devtools-2.1.0.vsix". Các tiện ích này được ngụy trang thành công cụ năng suất Jupyter Notebook vô hại, nhưng thực chất là một backdoor đa giai đoạn tinh vi được thiết kế để vượt qua các biện pháp phòng thủ đầu cuối. Mã độc hỗ trợ các chức năng: sử dụng trang SharePoint làm hàng đợi lệnh, đăng ký nạn nhân và kênh đánh cắp dữ liệu; một lớp JavaScript xử lý giao tiếp C2 qua Microsoft Graph API và SharePoint; các thành phần cho phép đọc, ghi và đánh cắp tệp tùy ý, cũng như thực thi mã bằng tệp thực thi Windows và script Python cho Linux và macOS. Kênh C2 có thể phát hành lệnh "host_action" để thao tác hệ thống tệp như pwd, ls, cd, cat, cùng với tải lên và tải xuống tệp.
Mặc dù không có sự trùng lặp trực tiếp với bất kỳ chiến dịch Triều Tiên nào được ghi nhận công khai, Yeeth Security cho rằng việc chia tách công cụ phát triển giữa JavaScript và Python có điểm tương đồng với Contagious Interview, và cơ chế xác thực Microsoft Graph API của mã độc có một số điểm chung với các cuộc tấn công Dream Job của nhóm Lazarus do S2 Grupo LAB52 công bố vào tháng 10/2025.
Hàng loạt chiến dịch liên quan đến hacker Triều Tiên trong thời gian gần đây
Các phát hiện này nằm trong loạt chiến dịch do các nhóm hacker Triều Tiên thực hiện trong những tháng gần đây. Một cuộc tấn công chuỗi cung ứng Axios sử dụng ba gói npm độc hại ([email protected], [email protected], [email protected]) để phát tán trình đánh cắp thông tin, với các gói được liệt kê là phụ thuộc trong các dự án GitHub giả mạo bot giao dịch tiền mã hóa. Chưa đầy 18 giờ sau khi các gói độc hại bị xóa khỏi NPM, tải trọng thứ cấp đầu tiên đã xuất hiện trên registry, cho thấy tin tặc đã chuẩn bị cơ sở hạ tầng dự phòng.
Chiến dịch TaskJacker thả các tệp tác vụ VS Code độc hại vào kho GitHub hiện có của người dùng, lây lan theo kiểu worm. Bằng cách vũ khí hóa tính năng tự động thực thi tasks.json của VS Code, chỉ cần mở kho đã sao chép trong IDE là hệ thống có thể bị xâm phạm, không cần tương tác nào khác. Nhóm Contagious Interview cũng sử dụng Git hooks (.githooks/pre-commit) để kích hoạt mã độc khi nạn nhân sao chép kho "coding assessment", đánh dấu sự chuyển hướng từ việc ẩn mã độc trong .vscode/tasks.json hoặc package.json.
Một gói Packagist bị xâm phạm ("roberts/leads") nhắm vào lập trình viên PHP với trình tải JavaScript, kết nối đến cơ sở hạ tầng blockchain và RPC công cộng để tìm nạp, giải mã và thực thi tải trọng JavaScript giai đoạn tiếp theo. Tin tặc cũng lợi dụng quyền truy cập vào hệ thống lập trình viên bị xâm phạm để can thiệp vào commit và chèn mã JavaScript nhiều giai đoạn vào tệp mã nguồn. Trend Micro cảnh báo: "Các hoạt động của Void Dokkaebi không kết thúc với một lập trình viên bị nhiễm. Máy bị xâm phạm trở thành bệ phóng, tin tặc vũ khí hóa kho của nạn nhân và biến đóng góp mã của họ thành vector lây nhiễm cho các lập trình viên khác, tạo ra chuỗi tự duy trì giống worm."
Contagious Interview đã di chuyển InvisibleFerret từ script Python có thể đọc sang tệp nhị phân biên dịch Cython, phân phối dưới dạng tệp .pyd trên Windows và .so trên macOS. BeaverTail cũng mở rộng vai trò từ trình tải và đánh cắp ban đầu thành mã độc đa năng với các chức năng chồng chéo, bao gồm thu thập thông tin đăng nhập và trojan hóa ví. Một gói npm độc hại khác tên "terminal-logger-utils" nhắm vào dữ liệu Telegram, khóa SSH, ví tiền mã hóa, cấu hình đám mây và biến môi trường. Gói này được xuất bản bởi tài khoản "jpeek895", trước đó đã xuất bản gói tương tự "terminal-logger-pack" vào cuối tháng 4/2026. Một gói npm khác "js-logger-pack" phân phối tệp nhị phân ELF với khả năng đánh cắp thông tin và trojan truy cập từ xa (RAT).
Nhóm BlueNoroff (Sapphire Sleet, UNC1069) nhắm vào môi trường macOS trong lĩnh vực tài chính cao cấp, sử dụng kỹ thuật xã hội có chủ đích nhằm vào cá nhân trong không gian tiền mã hóa, đầu tư và Web3. Các cuộc tấn công sử dụng mồi nhử giả mạo cuộc họp Zoom và Microsoft Teams, cùng lời nhắc ClickFix để cài đặt SDK "bị thiếu" và phát tán mã độc. Các cuộc tấn công dẫn đến triển khai các biến thể cập nhật của Cabbage RAT (CageyChameleon), các implant PowerShell có khả năng đánh cắp thông tin đăng nhập và dữ liệu, hoặc một bộ công cụ đánh cắp dữ liệu macOS mới có tên Mach-O Man. Microsoft lưu ý rằng bằng cách thuyết phục người dùng thực thi thủ công các lệnh AppleScript hoặc Terminal, Sapphire Sleet chuyển việc thực thi sang ngữ cảnh do người dùng khởi tạo, cho phép hoạt động vượt qua các biện pháp bảo vệ macOS như TCC, Gatekeeper, kiểm tra cách ly và notarization.
Chiến dịch Contagious Trader sử dụng hơn 50 gói độc hại nhúng trong hơn 100 kho GitHub, nhắm vào lập trình viên trong lĩnh vực tiền mã hóa để phát tán ba dòng mã độc: PromptMink, OtterCookie và ClipViper (trình đánh cắp clipboard Windows mới). Các kho độc hại được quảng bá qua tài khoản đã xác minh trên X và Reddit, sử dụng danh tính lập trình viên giả mạo và số sao do bot thổi phồng để trông hợp pháp. Một cụm gói npm bị làm rối do nhiều tài khoản dùng một lần xuất bản đã phát tán các biến thể của OtterCookie thông qua hook postinstall. Gói npm "node-env-resolve" sử dụng sáu phụ thuộc thời gian chạy khớp với bộ công cụ OtterCookie.
Đáng chú ý, Contagious Interview đã sử dụng trí tuệ nhân tạo tạo sinh để hỗ trợ phát triển các trình tải chịu trách nhiệm khởi chạy BeaverTail và OtterCookie, cũng như thiết lập các công ty bình phong để đăng tin tuyển dụng và tiếp cận kỹ thuật xã hội qua tài khoản LinkedIn giả. Theo dữ liệu từ Expel, các chiến dịch này có thể do nhiều nhóm thực hiện, mỗi nhóm gồm nhiều thành viên. Các cuộc tấn công đã đánh cắp 12 triệu USD tiền mã hóa trong ba tháng đầu năm 2026. Expel cho biết: "Các chiến dịch của tin tặc đã đánh cắp tổng cộng 26.584 ví tiền mã hóa từ hệ thống của 2.726 lập trình viên bị nhiễm."
Một chiến dịch tấn công chuỗi cung ứng mang tên jsonspack đã sử dụng 27 gói npm độc hại để phát tán JavaScript RAT và trình đánh cắp thông tin, hoặc thả trình tải tìm nạp tải trọng không xác định. Gói npm "sleek-pretty" nhắm vào lập trình viên chạy bot giao dịch Polymarket.
Theo The Hacker News
Ảnh: geralt / Pixabay
