Nguy hiểm: Infostealer Malware RubyGems Tấn Công Người Dùng

08/08/2025
3 mins read
Nguy hiểm: Infostealer Malware RubyGems Tấn Công Người Dùng

Nhóm nghiên cứu mối đe dọa của Socket đã phơi bày một chiến dịch dai dẳng liên quan đến hơn 60 gói RubyGems độc hại. Các gói này giả mạo công cụ tự động hóa cho các nền tảng như Instagram, Twitter/X, TikTok, WordPress, Telegram, Kakao và Naver. Chiến dịch, hoạt động tích cực từ ít nhất tháng 3 năm 2023, đã triển khai các gem này để cung cấp các chức năng hợp pháp như đăng bài hàng loạt và tăng cường tương tác, đồng thời bí mật lấy cắp thông tin đăng nhập người dùng và định danh hệ thống. Đây là một ví dụ điển hình về **infostealer malware** tinh vi.

Nội dung
Phân tích Kỹ thuật và Cơ chế Hoạt động của **Infostealer Malware** RubyGems

Cơ chế Exfiltration Dữ liệu
Sự Tiến hóa và Độ bền của Chiến dịch
Đối tượng Mục tiêu và Kênh Phân phối

Các Biến thể Chuyên biệt
Các Chỉ số Thỏa hiệp (IOCs)
Giải pháp Giảm thiểu và Phát hiện Xâm nhập

Phân tích Kỹ thuật và Cơ chế Hoạt động của **Infostealer Malware** RubyGems

Tác nhân đe dọa hoạt động dưới các bí danh như zon, nowon, kwonsoonje, và soonje. Các gói gem độc hại này chủ yếu nhắm mục tiêu vào môi trường Windows. Có bằng chứng rõ ràng cho thấy chiến dịch tập trung vào người dùng Hàn Quốc, thể hiện qua các giao diện người dùng đồ họa (GUI) bằng tiếng Hàn được xây dựng bằng Glimmer-DSL-LibUI. Dữ liệu bị đánh cắp sau đó được gửi đến các miền .kr.

Cơ chế Exfiltration Dữ liệu

Cơ chế cốt lõi của **infostealer malware** này là yêu cầu người dùng nhập thông tin đăng nhập nền tảng thông qua các trường nhập liệu có nhãn tiếng Hàn. Ngay lập tức sau khi nhập, thông tin này cùng với địa chỉ MAC của máy chủ sẽ được truyền tải qua các yêu cầu HTTP POST đến các máy chủ command-and-control (C2). Các điểm cuối này, thường được lưu trữ trên các bảng tin dựa trên PHP, đóng vai trò là bảng điều khiển thu thập thông tin đăng nhập. Điều này cho phép tác nhân thu thập dữ liệu để bán lại hoặc khai thác thêm.

Việc thu thập địa chỉ MAC giúp tác nhân định danh nạn nhân và tương quan các chiến dịch hiệu quả hơn. Phân tích của Socket AI Scanner, ví dụ với gem iuz-64bit, cho thấy các mẫu tấn công giống hệt nhau trên toàn bộ cụm. Điều này khẳng định tính nhất quán trong phương thức hoạt động của chúng.

Sự Tiến hóa và Độ bền của Chiến dịch

Chiến dịch này đã trải qua nhiều đợt, giới thiệu hỗ trợ cho các nền tảng mới cứ sau hai đến ba tháng. Hệ thống cơ sở hạ tầng được tăng cường dự phòng thông qua việc thêm các miền C2 mới mà không ngừng sử dụng các miền cũ. Việc gỡ bỏ các gói gem dưới bí danh zon bởi chính tác nhân đã gây khó khăn cho việc gán nhãn, cho phép đóng gói lại và triển khai lại đồng thời tránh được các phương pháp phát hiện dựa trên siêu dữ liệu.

Đối tượng Mục tiêu và Kênh Phân phối

Các gói gem này được thiết kế rõ ràng cho các nhà tiếp thị “grey-hat” ở Hàn Quốc, những người tham gia vào hoạt động spam, tối ưu hóa công cụ tìm kiếm (SEO), và tạo tương tác giả. Chúng khai thác sự phụ thuộc của người dùng vào các tài khoản dùng một lần và công cụ tự động hóa, cho phép hoạt động không bị phát hiện trong hơn một năm.

Nạn nhân thường truy cập các bảng SMM như smmdoge[.]com để mua người theo dõi giả, các nền tảng backlink như SpamZilla để thao túng tìm kiếm, và các cổng SMS dùng một lần như smshub[.]org để đăng ký hàng loạt. Do tính chất dùng một lần của tài khoản, các nạn nhân hiếm khi báo cáo vi phạm.

Việc quảng bá **infostealer malware** này diễn ra thông qua các kênh Telegram và Kakao của Hàn Quốc, quảng cáo các “chương trình backlink tự động” và “công cụ xếp hạng hàng đầu miễn phí”.

Các Biến thể Chuyên biệt

Đáng chú ý, một số gem như njongto_duojongmogtolon nhắm mục tiêu vào các diễn đàn thảo luận chứng khoán. Chúng cho phép đăng bài tự động để đầu cơ cổ phiếu trong khi vẫn đánh cắp thông tin đăng nhập. Điều này có thể tạo điều kiện cho việc thao túng diễn đàn tài chính hoặc các chiến dịch gây ảnh hưởng. Mô hình sử dụng kép này duy trì chiến dịch bằng cách trao quyền cho các hoạt động “grey-hat” của nạn nhân trong khi cấp cho tác nhân quyền truy cập liên tục. Đây là một **mối đe dọa mạng** phức tạp.

Các Chỉ số Thỏa hiệp (IOCs)

Phân tích nhật ký **infostealer malware** từ các chợ dark web như Russian Market đã xác nhận các vụ lây nhiễm trong số khách hàng của marketingduo[.]co[.]kr. Các hệ thống bị ảnh hưởng cho thấy hoạt động trên các công cụ proxy từ bablosoft[.]com và các thị trường tài khoản như accs-market[.]com.

Dưới đây là danh sách các IOCs chính liên quan đến chiến dịch này:

  • Các bí danh của tác nhân:
    • zon
    • nowon
    • kwonsoonje
    • soonje
  • Các gói RubyGems độc hại nổi bật:
    • iuz-64bit
    • njongto_duo
    • jongmogtolon
  • Máy chủ Command-and-Control (C2):
    • programzon[.]com/auth/program/signin
    • appspace[.]kr/bbs/login_check.php
    • marketingduo[.]co[.]kr/bbs/login_check.php
  • Các nền tảng và dịch vụ liên quan:
    • SMM Panels:smmdoge[.]com
    • Backlink Platforms:SpamZilla
    • SMS Gateways:smshub[.]org
    • Proxy Tools:bablosoft[.]com
    • Account Marketplaces:accs-market[.]com

Giải pháp Giảm thiểu và Phát hiện Xâm nhập

Trước những **rủi ro bảo mật** từ các chiến dịch như vậy, các nhà phòng thủ được khuyến nghị tích hợp các công cụ chuyên biệt để tăng cường bảo mật chuỗi cung ứng phần mềm. Việc áp dụng các giải pháp giúp **phát hiện xâm nhập** sớm là cực kỳ quan trọng.

Theo báo cáo của Socket, một số công cụ có thể hỗ trợ đáng kể bao gồm: Socket’s GitHub App để quét các yêu cầu kéo (pull request), công cụ CLI để cảnh báo tại thời điểm cài đặt, tiện ích mở rộng trình duyệt để duyệt hệ sinh thái, và MCP để hỗ trợ mã hóa bằng AI. Việc áp dụng các biện pháp chủ động này giúp giảm thiểu các rủi ro trong chuỗi cung ứng phần mềm đang phát triển liên tục.