Nhóm BlueNoroff của Triều Tiên triển khai phần mềm độc hại SilentSiphon nhắm mục tiêu vào thông tin xác thực và dữ liệu Web3

Tóm tắt điều hành

Tập đoàn tin tặc được nhà nước Triều Tiên bảo trợ, BlueNoroff, đã triển khai một loại phần mềm độc hại mới, SilentSiphon, được thiết kế đặc biệt để xâm phạm dữ liệu và thông tin đăng nhập quan trọng trên nhiều ứng dụng và dịch vụ liên quan đến Web3. Mối đe dọa tinh vi này nhắm mục tiêu vào người dùng macOS, bao gồm các giám đốc điều hành công nghệ và nhà phát triển Web3, làm dấy lên lo ngại về bảo mật tài sản kỹ thuật số.

Chi tiết sự kiện

SilentSiphon là một bộ công cụ đánh cắp bao gồm nhiều script bash được thiết kế để thu thập và trích xuất thông tin nhạy cảm. Phần mềm độc hại có khả năng thu thập dữ liệu từ Apple Notes, Telegram, các tiện ích mở rộng trình duyệt web và thông tin đăng nhập được lưu trữ trong trình duyệt và trình quản lý mật khẩu. Hơn nữa, nó nhắm mục tiêu vào các bí mật trong các tệp cấu hình liên quan đến một loạt các dịch vụ rộng lớn, bao gồm GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, .NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai Linode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, và một số nền tảng blockchain nổi bật như Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes, và OpenAI.

Hoạt động này được quy cho BlueNoroff, một nhóm con của Lazarus Group khét tiếng, còn được xác định là APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (trước đây là Copernicium) và Stardust Chollima. Việc triển khai SilentSiphon là một phần của các chiến dịch lớn hơn, GhostCall và GhostHire, nằm trong hoạt động SnatchCrypto bao trùm, hoạt động từ ít nhất năm 2017.

Nạn nhân của GhostCall đã được quan sát trên nhiều máy chủ macOS ở Nhật Bản, Ý, Pháp, Singapore, Thổ Nhĩ Kỳ, Tây Ban Nha, Thụy Điển, Ấn Độ và Hồng Kông. Chiến dịch này chủ yếu nhắm mục tiêu vào các giám đốc điều hành trong lĩnh vực công nghệ và vốn mạo hiểm bằng cách tiếp cận trực tiếp họ qua các nền tảng như Telegram và dụ dỗ họ đến các cuộc họp liên quan đến đầu tư trên các trang web lừa đảo giống Zoom. Chiến dịch GhostHire, chủ yếu ảnh hưởng đến Nhật Bản và Úc, tập trung vào các nhà phát triển Web3. Những kẻ tấn công tiếp cận mục tiêu trên Telegram, dụ dỗ họ tải xuống và thực thi các kho lưu trữ GitHub độc hại dưới vỏ bọc đánh giá kỹ năng.

Phân tích kỹ thuật hoạt động của phần mềm độc hại

SilentSiphon hoạt động như một bộ script bash. Sau khi lây nhiễm ban đầu, thường thông qua CosmicDoor, nhiều script shell được tạo để tạo điều kiện thu thập dữ liệu và trích xuất đến máy chủ Command and Control (C2) của kẻ tấn công. Một thành phần chính, upl.sh, hoạt động như một trình khởi chạy điều phối, tổng hợp các mô-đun trích xuất dữ liệu độc lập khác nhau dành riêng cho hệ thống của nạn nhân. Cách tiếp cận mô-đun này cho phép thu thập dữ liệu toàn diện được điều chỉnh cho môi trường bị xâm nhập, bỏ qua hiệu quả các biện pháp bảo mật tiêu chuẩn được thiết kế cho các vectơ mối đe dọa đơn lẻ.

Tác động thị trường

Sự xuất hiện của SilentSiphon và các chiến dịch BlueNoroff đang diễn ra làm nổi bật các rủi ro an ninh mạng ngày càng tăng trong hệ sinh thái Web3. Việc nhắm mục tiêu trực tiếp vào các dịch vụ và công cụ dành cho nhà phát triển liên quan đến blockchain có thể làm xói mòn lòng tin của người dùng và cản trở việc áp dụng rộng rãi hơn các công nghệ phi tập trung. Bản chất phức tạp của các cuộc tấn công này, tận dụng kỹ thuật xã hội và khai thác các nền tảng thường được sử dụng, báo hiệu nhu cầu cảnh giác cao hơn từ cả người dùng cá nhân và các thực thể tổ chức tham gia vào tài sản kỹ thuật số.

Bối cảnh rộng hơn của bảo mật Web3 cho thấy một bức tranh bấp bênh. Quý 1 năm 2025 ghi nhận hơn 2 tỷ USD tổn thất trong lĩnh vực Web3, đánh dấu mức tăng 96% so với quý 1 năm 2024. Chỉ riêng các cuộc khai thác kiểm soát truy cập đã chịu trách nhiệm cho hơn 1,6 tỷ USD tổn thất trong giai đoạn này. Mặc dù các cuộc khai thác hợp đồng thông minh chiếm tỷ lệ nhỏ hơn, với 29 triệu USD thiệt hại, nhưng tính chất phổ biến của lừa đảo và các phương pháp trộm cắp dữ liệu trực tiếp như SilentSiphon đóng góp đáng kể vào tình trạng mất an toàn tài chính nói chung.

Bình luận của chuyên gia và các thực hành tốt nhất

Các chuyên gia bảo mật nhấn mạnh tầm quan trọng thiết yếu của các thực hành an ninh mạng mạnh mẽ trong không gian Web3. Các cá nhân và tổ chức được khuyên nên sử dụng các ví uy tín, tốt nhất là những ví có tính năng bảo mật đã được thiết lập và hồ sơ đã được chứng minh. Cập nhật phần mềm thường xuyên là tối quan trọng để đảm bảo các bản vá bảo mật mới nhất được áp dụng. Việc sử dụng ví lạnh, lưu trữ khóa riêng tư ngoại tuyến trên các thiết bị phần cứng hoặc bản sao lưu giấy an toàn, được khuyến nghị cao để giảm thiểu đáng kể rủi ro bị tấn công mạng. Hơn nữa, nguyên tắc cơ bản là không bao giờ chia sẻ khóa riêng tư hoặc cụm từ hạt giống với bất kỳ ai vẫn là nền tảng của bảo mật tài sản kỹ thuật số. Cách tiếp cận chủ động này, kết hợp các công cụ bảo mật tiên tiến với hành vi người dùng có kỷ luật, là điều cần thiết để chống lại các mối đe dọa đang phát triển như SilentSiphon và bảo vệ tài sản trong môi trường Web3.

Bối cảnh rộng hơn

Việc BlueNoroff liên tục nhắm mục tiêu vào các lĩnh vực Web3 và blockchain thông qua các hoạt động như SnatchCrypto nhấn mạnh một mối đe dọa dai dẳng và đang phát triển từ các tác nhân được nhà nước Triều Tiên bảo trợ. Các chiến thuật của chúng, bao gồm kỹ thuật xã hội tinh vi và phát triển phần mềm độc hại linh hoạt, phản ánh trọng tâm chiến lược vào lợi ích tài chính thông qua trộm cắp mạng, thường nhắm mục tiêu vào các cá nhân và tổ chức có giá trị cao trong không gian tài sản kỹ thuật số. Tần suất và sự tinh vi ngày càng tăng của các cuộc tấn công như vậy đòi hỏi sự đổi mới liên tục trong phòng thủ an ninh mạng và nỗ lực hợp tác trên toàn cộng đồng Web3 để bảo vệ chống lại các cuộc xâm nhập trong tương lai. Xu hướng này phản ánh các lợi ích tài chính ngày càng tăng trong nền kinh tế phi tập trung, biến nó thành một mục tiêu hấp dẫn cho các tác nhân nhà nước có nguồn lực tốt. Phản ứng của ngành đối với các mối đe dọa như vậy sẽ rất quan trọng trong việc định hình tư thế bảo mật và khả năng phục hồi lâu dài của nó.