Hacker Triều Tiên chiếm đoạt dự án mã nguồn mở phổ biến Axios sau chiến dịch dài hơi

Cuộc tấn công mạng của Triều Tiên vào tuần trước đã tạm thời chiếm quyền kiểm soát một trong những dự án mã nguồn mở được sử dụng rộng rãi nhất trên web. Chiến dịch này đã được lên kế hoạch trong nhiều tuần, nhắm vào các nhà phát triển cấp cao của dự án.

Vụ việc chiếm đoạt dự án Axios vào ngày 31 tháng 3 đã thành công một phần nhờ vào việc các hacker có nguồn lực dồi dào đã dành thời gian xây dựng mối quan hệ và lòng tin với mục tiêu. Điều này làm tăng khả năng thành công của việc xâm nhập cuối cùng. Vụ hack này làm nổi bật những thách thức về bảo mật mà các nhà phát triển của các dự án mã nguồn mở phổ biến phải đối mặt, đặc biệt khi cả tin tặc chính phủ và tội phạm mạng đều nhắm vào các dự án này để tiếp cận hàng triệu thiết bị trên toàn thế giới.

Chi tiết về cuộc tấn công

Jason Saayman, người duy trì dự án Axios phổ biến mà các nhà phát triển sử dụng để kết nối ứng dụng của họ với internet, đã cung cấp một bản phân tích về thời gian của vụ hack. Ông chia sẻ rằng các hacker đã bắt đầu nhắm mục tiêu vào ông khoảng hai tuần trước khi cuối cùng giành được quyền kiểm soát máy tính để đẩy mã độc ra ngoài.

Theo Saayman, các hacker Triều Tiên bị nghi ngờ đã đóng giả một công ty thực, tạo ra một không gian làm việc Slack trông giống thật và sử dụng các hồ sơ nhân viên giả để xây dựng uy tín. Sau đó, họ mời ông tham gia một cuộc họp trực tuyến, yêu cầu ông tải xuống phần mềm độc hại ngụy trang dưới dạng bản cập nhật cần thiết để truy cập cuộc gọi. Saayman cho biết thủ thuật này bắt chước kỹ thuật thường được các hacker Triều Tiên sử dụng để lừa nạn nhân cấp quyền truy cập từ xa vào hệ thống của họ, thường nhằm đánh cắp tiền điện tử.

"Chiến dịch này bắt chước các vụ hack trước đây do các nhà nghiên cứu bảo mật tại Google quy cho Triều Tiên," Saayman nhận định.

Sau khi xâm nhập và giành được quyền truy cập từ xa vào máy tính của Saayman, các hacker đã phát hành các bản cập nhật độc hại cho dự án Axios.

Hậu quả và bối cảnh an ninh

Hai gói Axios độc hại đã bị gỡ bỏ khoảng ba giờ sau khi được xuất bản vào ngày 31 tháng 3, nhưng chúng có thể đã lây nhiễm hàng nghìn hệ thống trong khoảng thời gian đó. Mọi máy tính cài đặt phiên bản độc hại của phần mềm này trong thời gian đó có thể đã cho phép hacker đánh cắp khóa riêng tư, thông tin xác thực và mật khẩu, dẫn đến các vi phạm bảo mật tiếp theo.

Các hacker Triều Tiên vẫn là một trong những mối đe dọa mạng tích cực nhất trên internet hiện nay, bị buộc tội đánh cắp ít nhất 2 tỷ USD tiền điện tử chỉ trong năm 2025.

Chế độ của Kim Jong Un vẫn chịu các lệnh trừng phạt quốc tế và bị cấm tham gia mạng lưới tài chính toàn cầu do vi phạm lệnh cấm phát triển vũ khí hạt nhân. Đất nước này tài trợ phần lớn cho chương trình hạt nhân bằng cách tung ra các cuộc tấn công mạng và đánh cắp tiền điện tử.

Người ta tin rằng Triều Tiên có hàng nghìn hacker được tổ chức cao độ — phần lớn trong số họ làm việc trái ý muốn dưới chế độ đàn áp của Kim. Những hacker này dành nhiều tuần hoặc nhiều tháng để thực hiện các cuộc tấn công kỹ thuật xã hội phức tạp nhằm giành được lòng tin và cuối cùng là quyền truy cập để đánh cắp tiền điện tử và dữ liệu nhằm tống tiền nạn nhân.