Các tác nhân đe dọa từ Triều Tiên đã leo thang chiến dịch Contagious Interview của họ, triển khai 338 gói npm độc hại với hơn 50.000 lượt tải xuống. Mục tiêu chính là các nhà phát triển tiền điện tử và blockchain thông qua các chiến thuật kỹ thuật xã hội tinh vi. Hoạt động tấn công mạng do nhà nước tài trợ này thể hiện một bước tiến đáng kể trong các cuộc tấn công chuỗi cung ứng phần mềm.

Chiến dịch Contagious Interview: Sự Phát triển trong Tấn công Chuỗi Cung ứng

Chiến dịch sử dụng hơn 180 persona giả mạo và hàng chục điểm cuối Command and Control (C2). Mục đích là phân phối mã độc tiên tiến, bao gồm các backdoor BeaverTail và InvisibleFerret. Các nhà nghiên cứu bảo mật đã xác định đây là một hoạt động kiểu “nhà máy”. Nó được thiết kế để chiếm đoạt điểm cuối của nhà phát triển và đánh cắp tài sản tiền điện tử. Socket.dev đã cung cấp phân tích chi tiết về hoạt động này.

Phương pháp tiếp cận dựa trên Cyber Kill Chain

Chiến dịch Contagious Interview tuân theo một phương pháp có hệ thống. Nó dựa trên khuôn khổ Lockheed Martin Cyber Kill Chain. Các tác nhân đe dọa bắt đầu bằng hoạt động trinh sát trên LinkedIn. Họ tiếp cận các mục tiêu là nhà phát triển tiền điện tử, kỹ sư Web3 và chuyên gia blockchain. Kẻ tấn công giả dạng nhà tuyển dụng hoặc quản lý tuyển dụng để sàng lọc nạn nhân. Mục tiêu là xác định chuyên môn kỹ thuật và tiềm năng tài chính.

Kỹ thuật Social Engineering và Giao hàng Mã độc

Nạn nhân thường nhận được tin nhắn về cơ hội việc làm. Sau đó là các bài kiểm tra lập trình yêu cầu cài đặt các dependency trông có vẻ hợp pháp. Một trường hợp gần đây liên quan đến một kỹ sư phần mềm. Người này nhận được một repository chứa gói độc hại “eslint-detector”. Gói này có vẻ là một phần của bài kiểm tra tuyển dụng thông thường. Tuy nhiên, nó chứa payload được mã hóa được thiết kế để đánh cắp thông tin đăng nhập và dữ liệu ví.

Các tác nhân đe dọa cố tình tạo áp lực thời gian. Họ đặt ra các thời hạn phỏng vấn giả. Điều này khuyến khích nạn nhân nhanh chóng chạy các lệnh “npm install” mà không xem xét bảo mật kỹ lưỡng. Đây là một kỹ thuật xã hội đặc biệt hiệu quả. Nó khai thác quy trình làm việc tự nhiên của các nhà phát triển. Họ thường xuyên cài đặt các dependency trong quá trình thiết lập dự án.

Các Biến thể Mã độc và Loader Tiên tiến trong Tấn công Mạng

Làn sóng tấn công hiện tại cho thấy sự tinh vi kỹ thuật đáng kể. So với các phiên bản đầu tiên của chiến dịch, mức độ phức tạp đã tăng lên. Các tác nhân đe dọa đã tiến xa hơn các dropper mã độc BeaverTail đơn giản. Họ đã triển khai ba họ loader riêng biệt: HexEval, XORIndex và encrypted loaders. Mỗi biến thể thực thi trong quá trình cài đặt hoặc import gói.

Các loader này tái tạo mã độc bị che giấu trong bộ nhớ. Sau đó, chúng thường tìm nạp backdoor InvisibleFerret để duy trì quyền truy cập. Phương pháp này cho phép kẻ tấn công duy trì quyền kiểm soát lâu dài.

Typosquatting trong Hệ sinh thái npm

Các gói độc hại nhắm mục tiêu vào các dependency hàng ngày. Đây là những gói mà nhà phát triển thường tự động cài đặt. Đặc biệt, chúng tập trung vào hệ sinh thái Node.js và Express. Kẻ tấn công tạo ra các phiên bản typosquatting của các gói phổ biến, bao gồm:

• express
• dotenv
• body-parser
• validator
• cors
• helmet
• morgan
• nodemailer
• nodemon

Các ví dụ cụ thể về typosquatting bao gồm “epxreso” mô phỏng Express, “dotevn” bắt chước dotenv và “boby_parser” nhắm mục tiêu body-parser. Việc này khiến các nhà phát triển dễ dàng nhầm lẫn.

Nhắm mục tiêu Công cụ Phát triển Web3 và Tiền điện tử

Ngoài các tiện ích máy chủ, chiến dịch này còn nhắm mục tiêu cụ thể vào các công cụ phát triển Web3 và tiền điện tử. Các nhà nghiên cứu đã xác định các hành vi typosquatting có hệ thống đối với các thư viện như ethers.js (dưới dạng “ethrs.js” và “ethres.js”) và web3.js (dưới dạng “we3.js” và “wb3.js”). Các framework phát triển như Truffle, Ganache và Hardhat cũng bị nhắm đến.

Kẻ tấn công còn tạo ra các gói mạo danh thương hiệu như “metamask-api”. Mục đích là nhắm mục tiêu các nhà phát triển ví tiền điện tử. Điều này cho thấy sự hiểu biết sâu sắc về mục tiêu của chúng.

Hạ tầng Command and Control (C2) và Khả năng Duy trì trong An ninh Mạng

Hạ tầng Command and Control (C2) của chiến dịch kết hợp các địa chỉ IP thô trên các nhà cung cấp VPS thương mại. Đồng thời, nó sử dụng các nền tảng hosting hợp pháp như Vercel. Điều này giúp các hoạt động của chúng hòa mình vào lưu lượng truy cập phát triển bình thường.

Giao tiếp xảy ra qua các giao thức HTTP/HTTPS và WebSocket. Các đường dẫn URI được thiết kế để trông có vẻ liên quan đến công việc, chẳng hạn như:

/api/ipcheck
/process-log
/apikey

Những đường dẫn này giúp chúng tránh bị phát hiện.

Duy trì Quyền truy cập và Khai thác Đa nền tảng

Quá trình cài đặt tạo ra các foothold duy trì lâu dài. Đây không phải là các thỏa hiệp một lần. Mã độc BeaverTail thiết lập quyền truy cập liên tục. Sau đó, nó chuẩn bị backdoor InvisibleFerret. Backdoor này có khả năng hoạt động trên các nền tảng Windows, macOS và Linux.

Phương pháp tiếp cận đa giai đoạn này cho phép các tác nhân đe dọa duy trì quyền truy cập trong thời gian dài. Từ đó, chúng thực hiện trinh sát và chuẩn bị cho việc trộm cắp tiền điện tử. Sự tinh vi này làm tăng nguy cơ kéo dài thời gian xâm nhập.

Quy mô và Sự kiên trì của Chiến dịch Tấn công Mạng

Chiến dịch này thể hiện sự kiên trì đáng kể trước các biện pháp phòng thủ. Khi các đội bảo mật gỡ bỏ các gói độc hại, các tác nhân đe dọa nhanh chóng tải lên các biến thể mới dưới tên khác. Hoạt động này duy trì lịch trình tải lên hàng tuần. Các nhà nghiên cứu đã ghi lại các mô hình nhất quán về việc gửi gói, gỡ bỏ và tải lên lại.

Các báo cáo độc lập cho thấy các nhóm tấn công mạng liên kết với Triều Tiên đã đánh cắp hơn 2 tỷ USD tiền điện tử trong năm 2025. Chiến dịch Contagious Interview chỉ là một vector trong chiến lược rộng lớn hơn nhắm mục tiêu vào hệ sinh thái tiền điện tử. Tài sản bị đánh cắp thường di chuyển qua các mạng rửa tiền phức tạp, bao gồm mixer, cross-chain swaps và các mạng blockchain thay thế như Bitcoin, Ethereum, BTTC và Tron.

Thách thức và Phản ứng Bảo mật

Quy mô và sự kiên trì của chiến dịch này làm nổi bật những thách thức đối với hệ sinh thái npm và chuỗi cung ứng phần mềm rộng lớn hơn. Với 25 gói độc hại vẫn đang hoạt động tại thời điểm phân tích, mối đe dọa tiếp tục phát triển. Điều này đòi hỏi các chiến lược phòng thủ toàn diện. Các chiến lược này phải giải quyết cả lỗ hổng kỹ thuật và các vector kỹ thuật xã hội nhắm mục tiêu vào quy trình làm việc của nhà phát triển. Tầm quan trọng của an ninh mạng trong môi trường này không thể bị đánh giá thấp.