Một chiến dịch phát tán mã độc Python nguy hiểm đã nhắm mục tiêu vào người dùng tiền điện tử thông qua một gói phần mềm lừa đảo được lưu trữ trên kho PyPI. Các tác nhân đe dọa đã che giấu mã độc hại của chúng bên trong một công cụ kiểm tra chính tả giả mạo, bắt chước gói pyspellchecker hợp pháp có hơn 18 triệu lượt tải xuống.

Cuộc tấn công chuỗi cung ứng này đại diện cho một bối cảnh mối đe dọa đang phát triển, nơi kẻ tấn công khai thác các kho phần mềm đáng tin cậy để phân phối các công cụ truy cập từ xa (RAT) và thu thập thông tin xác thực cho các nhà phát triển trên toàn thế giới. Đây là một phương thức nguy hiểm bởi nó lợi dụng sự tin cậy vào hệ sinh thái phần mềm mã nguồn mở.

Chi Tiết Cuộc Tấn Công Chuỗi Cung Ứng và Phát Hiện Mã Độc Python

Gói mã độc Python này được thiết kế đặc biệt để đánh cắp thông tin nhạy cảm liên quan đến tiền điện tử. Nó sử dụng các kỹ thuật che giấu tinh vi và nhiều lớp mã hóa nhằm né tránh sự phát hiện của các giải pháp an ninh mạng truyền thống.

Các nhà nghiên cứu bảo mật của HelixGuard đã xác định rằng cơ sở hạ tầng chỉ huy và kiểm soát (C2) liên quan đến hoạt động này trùng khớp với các máy chủ đã được sử dụng trước đây trong các chiến dịch tấn công phi kỹ thuật (social engineering) phức tạp, mạo danh các nhà tuyển dụng. Sự trùng khớp này cho thấy một chiến lược tấn công có sự phối hợp chặt chẽ và nguồn lực đáng kể.

Kết nối này tiết lộ một sự thay đổi chiến thuật: các tác nhân đe dọa đã mở rộng quy mô từ các chiến dịch tấn công phi kỹ thuật trực tiếp sang phân phối tự động thông qua các nền tảng mã nguồn mở như PyPI. Việc này giúp tăng cường đáng kể phạm vi tiếp cận và hiệu quả của chúng trong cộng đồng phát triển phần mềm, làm tăng rủi ro cho hàng ngàn dự án.

Kể từ khi được triển khai, gói mã độc Python này đã được tải xuống hơn 950 lần. Các nhà phân tích bảo mật của HelixGuard đã xác định rằng mã độc hoạt động thông qua cơ chế phân phối theo từng giai đoạn. Mỗi giai đoạn được thiết kế để duy trì sự ẩn mình trong khi dần dần giành quyền kiểm soát sâu hơn đối với các hệ thống bị xâm nhập, làm phức tạp quá trình phân tích và gỡ bỏ.

Một bài viết chi tiết từ HelixGuard cung cấp thêm thông tin về phát hiện này: Malicious Spellcheckers in 2025.

Mục Tiêu và Cơ Chế Lây Nhiễm của Mã Độc Python

Các tác nhân đe dọa đặc biệt tập trung vào việc trích xuất thông tin liên quan đến tiền điện tử. Điều này phản ánh động cơ tài chính cao thúc đẩy sự phát triển của mã độc hiện đại và việc tiếp tục nhắm mục tiêu vào những người nắm giữ tài sản kỹ thuật số, bất kể trình độ kỹ thuật của họ.

Cơ chế lây nhiễm của mã độc Python này cho thấy một kỹ thuật được thiết kế tỉ mỉ nhằm vượt qua các hệ thống phát hiện bảo mật ở từng bước. Khi người dùng cài đặt và thực thi gói độc hại, mã độc sẽ được kích hoạt lần đầu thông qua một tệp chỉ mục ẩn được mã hóa Base64 có tên ma_IN.index.

Phần tải trọng được mã hóa này sau đó được giải mã và thực thi trực tiếp bằng hàm exec() của Python. Đây là một kỹ thuật hiệu quả để tránh ghi mã đáng ngờ vào đĩa, từ đó gây khó khăn cho việc phát hiện dựa trên chữ ký (signature-based detection) và phân tích tĩnh (static analysis), vốn phụ thuộc vào sự hiện diện của tệp trên ổ cứng.

Payload ban đầu kết nối với một máy chủ chỉ huy và kiểm soát (C2) do kẻ tấn công kiểm soát, đặt tại dothebest.store. Từ máy chủ này, mã độc tải xuống mã độc hại giai đoạn hai, hoàn tất quá trình thiết lập quyền truy cập.

Phần tải trọng giai đoạn hai là một công cụ truy cập từ xa (RAT) đầy đủ tính năng, có khả năng thực thi các lệnh Python tùy ý từ xa. Điều này mang lại cho kẻ tấn công khả năng chiếm quyền điều khiển hoàn toàn hệ thống bị nhiễm, cho phép chúng thực hiện nhiều hành vi độc hại.

Backdoor này sử dụng mã hóa XOR cho các giao tiếp mạng và các định dạng giao thức tùy chỉnh. Mục đích là để che giấu các hoạt động của nó khỏi các công cụ giám sát mạng (IDS/IPS) và phân tích lưu lượng, làm tăng thêm sự khó khăn trong việc phát hiện lưu lượng độc hại.

Ngoài ra, mã độc Python này còn ngăn chặn các ngoại lệ (exceptions) trong suốt quá trình thực thi. Việc này nhằm mục đích ngăn chặn các thông báo lỗi có thể cảnh báo các công cụ bảo mật hoặc người dùng về sự hiện diện của nó, giúp mã độc hoạt động âm thầm hơn.

Tác Động và Dữ Liệu Bị Đánh Cắp

Khi được kích hoạt, backdoor độc hại cho phép kẻ tấn công kiểm soát hoàn toàn máy tính của nạn nhân từ xa. Điều này cho phép chúng thu thập ví tiền điện tử, thông tin xác thực (credentials) và các dữ liệu nhạy cảm khác được lưu trữ trên hệ thống. Khả năng chiếm quyền điều khiển này là mối đe dọa nghiêm trọng đối với an toàn thông tin cá nhân và doanh nghiệp, có thể dẫn đến rò rỉ dữ liệu hoặc tổn thất tài chính lớn.

Biện Pháp Phòng Ngừa và Nâng Cao An Ninh Mạng

Để bảo vệ hệ thống khỏi các cuộc tấn công mạng tương tự, các nhà nghiên cứu bảo mật đưa ra các khuyến nghị sau nhằm củng cố an ninh mạng:

Kiểm Tra và Quản Lý Gói Python

• Người dùng nên xem xét ngay lập tức các gói Python đã cài đặt trên hệ thống của mình, đặc biệt là các gói không rõ nguồn gốc hoặc ít được sử dụng.
• Cập nhật danh sách các phần phụ thuộc (dependency lists) để đảm bảo chỉ sử dụng các phiên bản an toàn, đã được kiểm chứng từ các nguồn đáng tin cậy.
• Xóa bỏ bất kỳ gói nào đáng ngờ hoặc không rõ nguồn gốc khỏi môi trường phát triển và sản xuất để giảm thiểu bề mặt tấn công.

Tăng Cường An Toàn Thông Tin trong Phát Triển

• Các tổ chức nên triển khai quét phần phụ thuộc nghiêm ngặt trong các quy trình phát triển (development pipelines) của họ. Điều này giúp phát hiện và ngăn chặn việc sử dụng các gói mã độc Python ngay từ đầu, củng cố an toàn thông tin trong toàn bộ vòng đời phát triển.
• Theo dõi chặt chẽ các kết nối ra bên ngoài đến các địa chỉ chỉ huy và kiểm soát đã được xác định, đặc biệt là dothebest.store, để phát hiện sớm các dấu hiệu xâm nhập và phản ứng kịp thời.
• Đảm bảo các quy tắc an ninh mạng mạnh mẽ được áp dụng xuyên suốt vòng đời phát triển phần mềm, từ khâu thiết kế đến triển khai và bảo trì.

Chỉ Thị Thỏa Hiệp (Indicators of Compromise – IOCs)

Để hỗ trợ phát hiện và ngăn chặn, các tổ chức nên chú ý đến chỉ thị thỏa hiệp sau:

• Miền C2:dothebest.store

Việc chủ động theo dõi và chặn các kết nối đến miền này trong các hệ thống phòng thủ như tường lửa, proxy hoặc IDS/IPS là một bước quan trọng trong việc bảo vệ hệ thống khỏi mã độc Python và ngăn chặn các hoạt động chiếm quyền điều khiển tiềm ẩn.