Các nhóm hacker Triều Tiên phát triển mã độc Nim và chiến thuật social engineering tinh vi, đã chiếm đoạt 16 triệu USD từ các công ty blockchain.
Các nhóm tin tặc có liên hệ với Triều Tiên đang phát triển những phương thức tấn công mới nhằm vào các công ty Web3, bao gồm cả các kỹ thuật nhắm đến hệ thống Apple. Theo báo cáo mới từ các chuyên gia bảo mật, việc sử dụng kỹ thuật social engineering trong các đợt tấn công này ngày càng phổ biến, cho thấy mức độ chuẩn bị kỹ lưỡng đằng sau các chiến dịch.
Điều đáng chú ý là các nhóm tin tặc này đang ngày càng áp dụng các kỹ thuật mới để khai thác lỗ hổng và thâm nhập hệ thống của các công ty hoạt động trong lĩnh vực Web3. Một trong các công cụ tấn công mới được phát hiện là Nimdoor, tập trung vào việc lây nhiễm hệ thống Apple do mức độ phổ biến rộng rãi của nền tảng này.
Theo thông tin từ The Hacker News, cuộc tấn công bắt đầu bằng việc sử dụng kỹ thuật social engineering tinh vi. Tin tặc tiếp cận mục tiêu và lên lịch các buổi họp qua phần mềm hội nghị trực tuyến như Zoom. Trong thư mời tham dự có đính kèm một liên kết dẫn đến chương trình cài đặt, bề ngoài là cập nhật Zoom lên phiên bản mới nhất.
Tuy nhiên, trên thực tế, phần mềm này triển khai một đoạn mã lệnh cho phép tin tặc thu thập thông tin hệ thống và thực thi mã tùy ý, mở đường cho việc điều khiển hệ thống từ xa. Các nhà điều tra cho rằng điều này cho thấy các nhóm tin tặc Triều Tiên đang vũ khí hóa năng lực của hệ điều hành Apple để hoàn tất các chiến dịch tấn công của họ.
Kỹ thuật mã độc Nim và chiến dịch Babyshark
Các chuyên gia bảo mật từ SentinelOne – Phil Stokes và Raffaele Sabato – nhận định rằng khả năng độc đáo của ngôn ngữ Nim trong việc thực thi hàm ngay trong thời điểm biên dịch cho phép tin tặc tích hợp hành vi phức tạp vào mã nhị phân mà không để lộ luồng điều khiển rõ ràng. Điều này dẫn đến các file nhị phân mà trong đó mã của lập trình viên và mã runtime của Nim bị trộn lẫn đến cấp độ hàm.
Bên cạnh đó, các nhóm tin tặc Triều Tiên cũng đang triển khai những kỹ thuật khác, tập trung vào việc lừa đảo qua email trong một chiến dịch được các nhà nghiên cứu gọi là Babyshark. Phương thức này bao gồm việc gửi các tài liệu giả mạo được thiết kế tinh vi, tạo cảm giác cấp bách và khiến người nhận có xu hướng mở chúng.
Các tài liệu được ghi nhận thường giả dạng lời mời phỏng vấn từ các cơ quan báo chí có thật, yêu cầu cung cấp dữ liệu từ các “nhân viên tình báo” về các chuyến công tác nước ngoài, và hồ sơ ngoại giao. Sự đa dạng trong các hình thức giả mạo này cho thấy mức độ nghiên cứu sâu sắc về mục tiêu của các nhóm tin tặc.
Tình hình trở nên nghiêm trọng hơn khi các điệp viên của các nhóm này thâm nhập thành công vào chính các tổ chức bị tấn công, điều đã từng được ghi nhận trong quá khứ. Theo chuyên gia bảo mật blockchain Zackxbt, kể từ đầu năm 2025, hơn 16 triệu USD đã được chi trả cho các cá nhân giả danh nhà phát triển phần mềm – nhưng thực chất là thành viên của các nhóm tin tặc – trong nội bộ các công ty Web3.
