Sinh vật "giun" dai dẳng trong hệ sinh thái JavaScript, theo dõi khách hàng của Gucci và các sự kiện an ninh mạng khác

##Loài "sâu" kiên cường trong hệ sinh thái JavaScript, theo dõi khách hàng của Gucci và các sự kiện an ninh mạng khác.

Chúng tôi đã tổng hợp những tin tức quan trọng nhất từ thế giới an ninh mạng trong tuần.

• Các nhà phát triển blockchain ngày càng trở thành mục tiêu của tin tặc.
• Cảnh sát Canada đã thu giữ hơn 40 triệu đô la Mỹ bằng tiền điện tử.
• Hệ sinh thái JavaScript đang bị tấn công bởi một "worm" tự sao chép.
• Cuộc tấn công vào ngành ô tô có thể ảnh hưởng đến nền kinh tế Vương quốc Anh.

###Các nhà phát triển blockchain ngày càng trở thành mục tiêu của hacker

Các nhà phát triển phần mềm ngày càng thu hút các tin tặc tiền điện tử. Theo dữ liệu từ các nhà nghiên cứu an ninh mạng Koi Security, nhóm hacker WhiteCobra đã tấn công người dùng của các môi trường phát triển mã như VSCode, Cursor và Windsurf. Họ đã đăng 24 tiện ích mở rộng độc hại trên nền tảng Visual Studio Marketplace và trong danh bạ Open VSX.

Một trong những nạn nhân của "kẻ hủy diệt" là nhà phát triển chính của Ethereum, Zak Cole.

Tôi đã tham gia vào crypto hơn 10 năm và tôi chưa bao giờ bị hack. Hồ sơ OpSec hoàn hảo.

Hôm qua, ví của tôi đã bị rút cạn bởi một tiện ích mở rộng độc hại @cursor_ai lần đầu tiên.

Nếu điều đó có thể xảy ra với tôi, nó cũng có thể xảy ra với bạn. Dưới đây là phân tích chi tiết. 🧵👇

— zak.eth (@0xzak) 12 tháng 8, 2025

Theo lời của ông, tin tặc đã đánh cắp tiền điện tử bằng cách sử dụng một plugin cho trình biên tập mã AI có tên là Cursor. Cole giải thích rằng tiện ích mở rộng này có tất cả các dấu hiệu của một sản phẩm vô hại: logo được thiết kế chuyên nghiệp, mô tả chi tiết và 54.000 lượt tải xuống trên OpenVSX - đăng ký chính thức của Cursor.

Tại Koi Security, họ tin rằng WhiteCobra thuộc cùng một nhóm đã đánh cắp tài sản kỹ thuật số trị giá 500 000 đô la từ một lập trình viên blockchain người Nga vào tháng 7.

«Tính tương thích chéo và sự thiếu kiểm tra thích hợp khi xuất bản trên các nền tảng này khiến chúng trở thành lý tưởng cho những kẻ xấu, những người đang tìm cách thực hiện các chiến dịch với quy mô rộng lớn», — được nêu trong báo cáo của Koi Security.

Việc làm rỗng ví bắt đầu bằng cách thực thi tệp chính extension.js, gần giống như mẫu tiêu chuẩn Hello World được cung cấp với mỗi mẫu mở rộng VSCode. Sau đó, mã độc giải nén phần mềm đánh cắp tùy thuộc vào loại hệ điều hành.

Tập trung của kẻ xấu từ WhiteCobra là những người nắm giữ tài sản kỹ thuật số có giá trị từ $10 000 đến $500 000. Các nhà phân tích cho rằng nhóm này có khả năng triển khai một chiến dịch mới trong chưa đầy ba giờ.

Ví dụ về tiện ích mở rộng hợp pháp và giả mạo cho các nhà phát triển. Nguồn: Koi Security. Hiện tại, thật khó để ngăn chặn kẻ xấu: mặc dù các plugin độc hại bị xóa khỏi OpenVSX, nhưng ngay lập tức có những cái mới xuất hiện.

Các nhà nghiên cứu khuyên nên cố gắng chỉ sử dụng các dự án nổi tiếng với uy tín tốt và nên thận trọng với các bản phát hành mới, những bản đã thu hút được số lượng tải về lớn và nhận được nhiều đánh giá tích cực trong khoảng thời gian ngắn.

###Cảnh sát Canada đã thu giữ hơn 40 triệu đô la tiền điện tử

Cảnh sát liên bang Canada đã thực hiện cuộc tịch thu tiền điện tử lớn nhất trong lịch sử đất nước. Điều này đã được nhà điều tra on-chain ZachXBT lưu ý.

Cơ quan chức năng đã thu giữ các tài sản kỹ thuật số trên nền tảng TradeOgre trị giá hơn 56 triệu đô la Canada (~$40,5 triệu). Việc đóng cửa nền tảng trao đổi tiền điện tử là trường hợp đầu tiên như vậy trong lịch sử đất nước.

Cuộc điều tra bắt đầu vào tháng 6 năm 2024 theo thông tin từ Europol. Nó cho thấy rằng nền tảng này đã vi phạm luật pháp Canada và chưa đăng ký tại Trung tâm phân tích giao dịch tài chính và báo cáo như một doanh nghiệp cung cấp dịch vụ đổi tiền.

Các nhà điều tra có lý do để tin rằng phần lớn số tiền được sử dụng cho các giao dịch trên TradeOgre đến từ các nguồn gốc bất hợp pháp. Nền tảng này đã thu hút tội phạm do thiếu sự xác định danh tính người dùng bắt buộc.

Theo tuyên bố của cảnh sát, dữ liệu về các giao dịch nhận được từ TradeOgre sẽ được phân tích để đưa ra cáo buộc. Cuộc điều tra vẫn đang tiếp diễn.

###Hệ sinh thái JavaScript đang bị tấn công bởi "worm" tự sinh sản

Sau cuộc tấn công vào nền tảng NPM để nhúng phần mềm độc hại vào các gói JavaScript, những kẻ xấu đã chuyển sang chiến lược phát tán một "con sâu" hoàn chỉnh. Sự cố này đang gia tăng: tại thời điểm viết, đã có hơn 500 gói NPM bị xâm phạm.

Chiến dịch phối hợp Shai-Hulud bắt đầu vào ngày 15 tháng 9 với việc xâm phạm gói NPM @ctrl/tinycolor, gói này được tải xuống hơn 2 triệu lần mỗi tuần.

Theo các nhà phân tích Truesec, trong những ngày qua, chiến dịch đã mở rộng đáng kể và giờ đây bao gồm các gói được công bố trong không gian tên CrowdStrike.

Theo các chuyên gia, các phiên bản bị xâm phạm chứa một chức năng có thể trích xuất tệp tar-archive của gói, thay đổi tệp package.json, chèn một kịch bản cục bộ, tái cấu trúc tệp lưu trữ và xuất bản lại nó. Khi được cài đặt, kịch bản sẽ tự động chạy, tải xuống và khởi chạy TruffleHog - một công cụ hợp pháp để quét bí mật và tìm kiếm token.

Tại Truesec, họ cho rằng cuộc tấn công đang mở rộng đáng kể và trở nên tinh vi hơn. Mặc dù những kẻ xấu sử dụng nhiều thủ đoạn cũ, nhưng họ đã cải tiến đáng kể cách tiếp cận của mình, biến nó thành một "worm" hoàn toàn tự động. Phần mềm độc hại thực hiện các hành động sau:

• thu thập bí mật và công khai tiết lộ chúng trên GitHub;
• thực hiện TruffleHog và khảo sát các điểm cuối siêu dữ liệu đám mây để trích xuất thông tin xác thực nhạy cảm;
• cố gắng triển khai quy trình làm việc GitHub Actions, nhằm mục đích exfiltrating dữ liệu thông qua webhook.site;
• liệt kê tất cả các kho chứa GitHub có sẵn cho người dùng bị xâm phạm và buộc làm cho chúng công khai.

Đặc điểm nổi bật của cuộc tấn công này là phong cách của nó. Thay vì dựa vào một đối tượng bị nhiễm, nó tự động lan rộng ra tất cả các gói NPM.

###Cuộc tấn công vào ngành công nghiệp ô tô có thể ảnh hưởng đến nền kinh tế Vương quốc Anh

Jaguar Land Rover (JLR) đã không thể khôi phục sản xuất trong ba tuần liên tiếp do cuộc tấn công mạng. Nhà sản xuất ô tô hạng sang cho biết, dây chuyền sản xuất của họ đã ngừng hoạt động ít nhất cho đến ngày 24 tháng 9.

Công ty đã xác nhận rằng kẻ xấu đã đánh cắp thông tin từ mạng của họ, nhưng hiện tại chưa quy trách nhiệm cho cuộc tấn công lên một nhóm hacker cụ thể.

Theo thông tin từ BleepingComputer, một nhóm tội phạm mạng có tên Scattered Lapsus$ Hunters đã tuyên bố về sự liên quan của họ đến cuộc tấn công mạng, khi công bố các ảnh chụp màn hình của hệ thống nội bộ JLR trên kênh Telegram. Trong bài viết, nhóm hacker cũng khẳng định rằng họ đã triển khai phần mềm tống tiền trên cơ sở hạ tầng bị xâm phạm của công ty.

Theo ước tính của BBC, mỗi tuần ngừng hoạt động tốn kém cho công ty ít nhất 50 triệu bảng Anh (~$68 triệu). Trong khi đó, The Telegraph đánh giá tổn thất trong cùng khoảng thời gian là ~$100 triệu. Các nhà cung cấp JLR lo ngại rằng họ sẽ không thể vượt qua cuộc khủng hoảng bất ngờ và sợ hãi về sự phá sản.

###Dữ liệu bí mật của "Tường lửa vĩ đại của Trung Quốc" đã bị lộ ra công khai

Vào ngày 12 tháng 9, các nhà nghiên cứu từ nhóm Great Firewall Report đã thông báo về sự rò rỉ dữ liệu lớn nhất trong lịch sử của "Tường lửa lớn của Trung Quốc".

Khoảng 600 GB tài liệu nội bộ, mã nguồn, và thư từ nội bộ của các nhà phát triển, được sử dụng để tạo ra và duy trì hệ thống lọc lưu lượng truy cập quốc gia của Trung Quốc, đã bị rò rỉ ra mạng.

Theo các nhà nghiên cứu, lỗ hổng chứa các hệ thống xây dựng đầy đủ của nền tảng theo dõi lưu lượng, cũng như các mô-đun chịu trách nhiệm nhận diện và làm chậm các công cụ vượt tường lửa nhất định. Phần lớn ngăn xếp nhằm phát hiện VPN bị cấm ở Trung Quốc.

Các chuyên gia từ Great Firewall Report cho rằng một phần tài liệu liên quan đến nền tảng Tiangou — một sản phẩm thương mại dành cho các nhà cung cấp dịch vụ và các cổng biên giới. Các chuyên gia cho rằng các phiên bản đầu tiên của chương trình đã được triển khai trên các máy chủ của HP và Dell.

Ngoài ra, các tài liệu được tiết lộ có đề cập đến việc cài đặt phần mềm này tại 26 trung tâm dữ liệu ở Myanmar. Hệ thống này được cho là được điều hành bởi công ty viễn thông nhà nước và đã được tích hợp vào các điểm trao đổi lưu lượng internet chính, cho phép thực hiện cả việc chặn lén hàng loạt và lọc chọn lọc.

Theo Wired và Amnesty International, hạ tầng cũng đã được xuất khẩu sang Pakistan, Ethiopia, Kazakhstan và các quốc gia khác, nơi nó được sử dụng bên cạnh các nền tảng hợp pháp khác để thu thập dữ liệu.

###Người tiêu dùng sản phẩm xa xỉ đang bị hacker theo dõi

Vào ngày 15 tháng 9, chủ sở hữu của nhiều thương hiệu xa xỉ, tập đoàn Kering, đã xác nhận việc rò rỉ dữ liệu ảnh hưởng đến khách hàng của các công ty con như Gucci, Balenciaga, Alexander McQueen, Yves Saint Laurent.

Theo dữ liệu từ BBC, các hacker đã đánh cắp thông tin cá nhân, bao gồm tên, địa chỉ email, số điện thoại, địa chỉ nhà, cũng như tổng số tiền mà khách hàng đã chi tiêu tại các cửa hàng trên toàn thế giới.

Cuộc tấn công được cho là do nhóm hacker ShinyHunters thực hiện, nhóm này tuyên bố đã đánh cắp dữ liệu cá nhân của ít nhất 7 triệu người, tuy nhiên số người bị ảnh hưởng có thể cao hơn nhiều.

Nhóm này cũng bị nghi ngờ có liên quan đến việc đánh cắp nhiều cơ sở dữ liệu được lưu trữ trên Salesforce. Một số công ty, bao gồm Allianz Life, Google, Qantas và Workday, đã xác nhận việc bị đánh cắp dữ liệu do những vụ tấn công hàng loạt này.

Cũng hãy đọc trên ForkLog:

• CZ đã cảnh báo về mối đe dọa "nhân viên giả" từ CHDCND Triều Tiên.
• Đơn kiện được cập nhật đã tiết lộ chi tiết về vụ hack sàn giao dịch Bitcoin Coinbase.
• Các token DYDX trị giá 26 triệu đô la đã "bị kẹt" trên mạng Ethereum.
• Israel đã yêu cầu đình chỉ 1,5 triệu USDT liên quan đến các phần tử khủng bố.
• Tại Monero đã xảy ra sự tái tổ chức khối lớn nhất trong 12 năm.
• Cầu Shibarium đã bị hack với giá trị khoảng ~$2,3 triệu.

###Có gì để đọc vào cuối tuần?

ForkLog đã nghiên cứu các đề xuất của Privacy Stewards for Ethereum — đội ngũ mới trong thành phần của Ethereum Foundation — và đã báo cáo cách mà các nhân viên của tổ chức dự định triển khai tính riêng tư ở mọi cấp độ của mạng, cho đến cả ứng dụng.