Hacker Việt Nam Tấn Công Chuỗi Cung Ứng NPM Đánh Cắp Ví Ethereum​

Cho thuê bot auto trade: Xem Thêm



Cuộc tấn công chuỗi cung ứng phần mềm quy mô lớn nhắm vào các nhà phát triển Ethereum đã được phát hiện với dấu vết rõ ràng từ Việt Nam. Bốn gói phần mềm độc hại trên kho lưu trữ NPM đã giả mạo danh tính của Flashbots - một trong những cơ sở hạ tầng MEV đáng tin cậy nhất, để đánh cắp khóa riêng tư và cụm từ khôi phục ví tiền mã hóa từ hàng trăm nhà phát triển không nghi ngờ.

Nghiên cứu viên an ninh mạng Kush Pandya từ Socket đã phát hiện ra âm mưu tinh vi này, trong đó các gói phần mềm được ngụy trang như những tiện ích mã hóa hợp pháp và cơ sở hạ tầng Flashbots MEV. Tuy nhiên, bên dưới lớp vỏ bọc đáng tin cậy ấy là một hệ thống thu thập dữ liệu bí mật, gửi thông tin nhạy cảm về bot Telegram do kẻ tấn công kiểm soát.

Bốn Gói Độc Hại Như Bom Hẹn Giờ Trong Hệ Sinh Thái NPM​

Cuộc điều tra sâu hơn đã phơi bày ra bốn gói phần mềm nguy hiểm được tải lên bởi tài khoản có tên "flashbotts" – một cách đánh lạc hướng thông minh bằng cách thêm một chữ "t" vào tên thương hiệu Flashbots chính thức. Điều đáng lo ngại là những gói này đã tồn tại trong hệ thống từ tháng 9/2023, với lần tải lên gần nhất vào ngày 19 tháng 8/2025.

Danh sách "tội phạm" bao gồm @flashbotts/ethers-provider-bundle với 52 lượt tải xuống, flashbot-sdk-eth thu hút 467 lượt tải xuống, sdk-ethers đạt 90 lượt tải xuống, và gram-utilz ghi nhận 83 lượt tải xuống. Tổng cộng 692 lượt tải xuống có thể không nhiều, nhưng với mỗi lần cài đặt, khả năng mất mát tài sản số của nhà phát triển là rất cao.

Trong số các gói độc hại này, @flashbotts/ethers-provider-bundle được đánh giá là nguy hiểm nhất. Nó sử dụng tính năng tương thích đầy đủ với API Flashbots như một "tấm chắn" để che giấu các hoạt động độc hại. Gói phần mềm này không chỉ thu thập biến môi trường thông qua SMTP bằng Mailtrap, mà còn thực hiện chức năng thao túng giao dịch cực kỳ nguy hiểm.

Thực Tế Đáng Sợ Về Cách Thức Hoạt động Của Phần Mềm Độc Hại​

Cơ chế hoạt động của những gói phần mềm này cho thấy sự tinh vi đáng kinh ngạc. Chúng được thiết kế để chuyển hướng tất cả các giao dịch chưa ký đến địa chỉ ví do kẻ tấn công kiểm soát, đồng thời ghi lại siêu dữ liệu từ các giao dịch đã ký trước. Điều này có nghĩa là ngay khi nhà phát triển sử dụng những gói này, tiền của họ có thể bị chuyển hướng mà không hề hay biết.

Gói sdk-ethers thoạt nhìn có vẻ vô hại hơn, nhưng thực tế ẩn chứa hai hàm nguy hiểm để truyền cụm từ khôi phục đến bot Telegram. Những hàm này chỉ được kích hoạt khi các nhà phát triển không nghi ngờ gọi chúng trong dự án của mình – một cách tiếp cận rất khéo léo để tránh bị phát hiện sớm.

Gói flashbot-sdk-eth thứ hai cũng giả mạo Flashbots được thiết kế để kích hoạt việc đánh cắp khóa riêng tư, trong khi gram-utilz cung cấp cơ chế mô-đun để thu thập dữ liệu tùy ý gửi đến cuộc trò chuyện Telegram của kẻ tấn công. Sự đa dạng trong phương thức tấn công cho thấy đây là một chiến dịch được lên kế hoạch chu đáo và thực hiện bài bản.

Dấu Vết Việt Nam Trong Mã Nguồn Phần Mềm Độc Hại​

Một phát hiện đặc biệt thú vị từ cuộc điều tra là sự xuất hiện của các bình luận tiếng Việt trong mã nguồn của những gói phần mềm này. Điều này cho thấy kẻ tấn công có thể là người nói tiếng Việt, mở ra khả năng đây là một chiến dịch xuất phát từ Việt Nam hoặc ít nhất là do người Việt thực hiện.

Việc để lại dấu vết ngôn ngữ trong mã nguồn cho thấy sự bất cẩn của kẻ tấn công, nhưng cũng phản ánh thực tế rằng các cuộc tấn công mạng ngày càng trở nên toàn cầu hóa. Điều này cũng đặt ra câu hỏi về khả năng theo dõi và truy tìm nguồn gốc của những cuộc tấn công như thế này.

Việc sử dụng tiếng Việt cũng có thể là một chiến thuật đánh lạc hướng, nhưng kết hợp với các yếu tố khác, nó tạo ra một bức tranh khá rõ ràng về xuất xứ của cuộc tấn công. Điều này nhấn mạnh tầm quan trọng của việc kiểm tra kỹ lưỡng mã nguồn, không chỉ về mặt chức năng mà còn về các dấu hiệu bất thường.

Nguy Cơ Tài Chính Khổng Lồ Đối Với Cộng Đồng Nhà Phát Triển​

Tầm quan trọng của Flashbots trong hệ sinh thái Ethereum khiến việc giả mạo thương hiệu này trở nên cực kỳ nguy hiểm. Flashbots được các validator, searcher và nhà phát triển DeFi tin tưởng rộng rãi do vai trò của nó trong việc chống lại các tác động tiêu cực của Giá Trị Tối Đa Có Thể Trích Xuất (MEV) trên mạng Ethereum.

Bất kỳ gói phần mềm nào có vẻ như SDK chính thức đều có khả năng cao được các nhà vận hành bot giao dịch hoặc quản lý ví nóng áp dụng. Trong môi trường này, một khóa riêng tư bị xâm phạm có thể dẫn đến việc đánh cắp tiền ngay lập tức và không thể hoàn tác.

Pandya nhấn mạnh: "Bằng cách khai thác lòng tin của nhà phát triển vào các tên gói quen thuộc và đệm mã độc hại với các tiện ích hợp pháp, những gói này biến việc phát triển Web3 thường ngày thành đường ống trực tiếp đến các bot Telegram do kẻ tấn công kiểm soát."

Cảnh Báo Về Xu Hướng Tấn Công Chuỗi Cung Ứng Phần Mềm​

Vụ việc này không phải là trường hợp đơn lẻ mà là một phần của xu hướng tấn công chuỗi cung ứng phần mềm ngày càng phức tạp và tinh vi. Các kẻ tấn công đang khai thác lòng tin gắn liền với các nền tảng phổ biến để tiến hành các cuộc tấn công, đồng thời che giấu chức năng độc hại giữa mã nguồn vô hại để tránh sự kiểm tra kỹ lưỡng.

Việc các gói phần mềm này tồn tại trong hệ thống từ tháng 9/2023 cho thấy thời gian "ủ bệnh" rất dài, trong đó chúng có thể đã gây ra thiệt hại đáng kể mà chưa được phát hiện. Điều này nhấn mạnh tầm quan trọng của việc giám sát liên tục và kiểm tra bảo mật thường xuyên đối với các dependency trong dự án phát triển phần mềm.

Cộng đồng nhà phát triển blockchain cần đặc biệt cảnh giác với những gói phần mềm tương tự trong tương lai, vì các kẻ tấn công có thể sẽ tiếp tục sử dụng chiến thuật giả mạo các thương hiệu đáng tin cậy để thực hiện các cuộc tấn công tương tự.

Với cụm từ khôi phục đóng vai trò như "chìa khóa vạn năng" để khôi phục quyền truy cập vào ví tiền mã hóa, việc đánh cắp những chuỗi từ này cho phép kẻ tấn công xâm nhập vào ví nạn nhân và giành quyền kiểm soát hoàn toàn ví của họ. Nguy cơ này đòi hỏi sự thận trọng tối đa từ mọi nhà phát triển trong việc lựa chọn và sử dụng các thư viện bên thứ ba.