Mã độc Triton giả mạo tấn công: Nguy hiểm từ GitHub

18/02/2026
3 mins read
Mã độc Triton giả mạo tấn công: Nguy hiểm từ GitHub

Một phiên bản giả mạo của ứng dụng macOS hợp pháp Triton đã xuất hiện trên GitHub, lợi dụng các kho lưu trữ mã nguồn mở để phát tán mã độc. Kho lưu trữ lừa đảo này, được tạo dưới tài khoản “JaoAureliano,” là một bản sao của ứng dụng Triton gốc do Otávio C phát triển. Thay vì cung cấp phần mềm chính hãng, phiên bản giả mạo đã chuyển hướng người dùng tải xuống một tệp ZIP chứa mã độc dựa trên Windows.

Nội dung
Khai thác GitHub để Phát tán Mã độc

Phát hiện Kho lưu trữ Độc hại
Đặc điểm Tài khoản và Dấu hiệu Đáng ngờ
Phân tích Kỹ thuật Mã độc

Chuỗi Thực thi và Kỹ thuật Trốn tránh
Giao tiếp Command-and-Control (C2) và Thu thập Thông tin
Khuyến nghị Bảo mật và Phòng ngừa

Xác minh Nguồn gốc Kho lưu trữ
Giám sát Chỉ số Thỏa hiệp (IOCs)
Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)

Khai thác GitHub để Phát tán Mã độc

Vectơ tấn công trong sự cố này rất rõ ràng, với các liên kết tải xuống độc hại được nhúng lặp đi lặp lại trong tệp README của kho lưu trữ. Kẻ tấn công đã đặt gói mã độc (Software_3.1.zip) bên trong một thư mục colorset của Xcode. Người dùng tải xuống tệp lưu trữ dung lượng 1.33 MB này sẽ nhận được các tệp thực thi được thiết kế để gây xâm nhập mạng hệ thống Windows, mặc dù Triton là một ứng dụng dành riêng cho macOS.

Phát hiện Kho lưu trữ Độc hại

Nhà nghiên cứu bảo mật Brennan đã xác định kho lưu trữ độc hại sau khi các cuộc thảo luận xuất hiện trong một máy chủ IRC về hoạt động phân nhánh đáng ngờ. Phân tích qua VirusTotal cho thấy tỷ lệ phát hiện là 12/66 nhà cung cấp đối với mẫu mã độc này.

Chi tiết nghiên cứu có thể tham khảo tại: The Curious Case of the Triton Malware Fork.

Đặc điểm Tài khoản và Dấu hiệu Đáng ngờ

Tài khoản GitHub của kẻ tấn công hiển thị nhiều dấu hiệu đáng ngờ. Lịch sử commit thưa thớt với chỉ hai kho lưu trữ, tuy nhiên biểu đồ đóng góp đã bị thao túng một cách giả tạo bằng các script tự động để backdate các dummy commit. Các chủ đề của kho lưu trữ bao gồm các thẻ bất thường như “malware,” “deobfuscation,” và “symbolic-execution,” có thể nhằm mục đích giả dạng nội dung bảo mật giáo dục.

Mặc dù đã có nhiều báo cáo gửi đến GitHub, nền tảng này vẫn chưa gỡ bỏ tài khoản độc hại tại thời điểm phát hiện. Sự cố này thể hiện một mô hình rộng hơn về việc GitHub bị lợi dụng để phân phối mã độc, với các chiến dịch tương tự đang diễn ra.

Phân tích Kỹ thuật Mã độc

Mã độc này sử dụng một chuỗi thực thi đa giai đoạn bắt đầu bằng việc giải nén tệp lưu trữ bằng 7za.exe với mật khẩu “infected.” Payload tận dụng LuaJIT để thực thi script và triển khai các kỹ thuật trốn tránh tinh vi.

Chuỗi Thực thi và Kỹ thuật Trốn tránh

Các kỹ thuật trốn tránh bao gồm:

  • Phát hiện môi trường gỡ lỗi (debug environment).
  • Sử dụng bộ hẹn giờ ngủ kéo dài để vượt qua các sandbox.
  • Phát hiện môi trường ảo hóa.

Giao tiếp Command-and-Control (C2) và Thu thập Thông tin

Mã độc thiết lập các kênh Command-and-Control (C2) được ngụy trang thành lưu lượng truy cập Microsoft Office thông qua các tên miền như nexusrules.officeapps.live.comsvc.ha-teams.office.com. Đồng thời, nó thực hiện khám phá IP thông qua ip-api.com và giao tiếp blockchain tới polygon-rpc.com.

Mã độc cũng thực hiện trinh sát hệ thống bằng cách kiểm tra các môi trường phát triển bao gồm cài đặt Java, Python và .NET, cùng với nhật ký phần mềm bảo mật. Các khóa registry được truy cập để thu thập dữ liệu cấu hình và thiết lập tính bền vững. Các thao tác tệp nhắm mục tiêu vào các thư mục hệ thống để leo thang đặc quyền.

Khuyến nghị Bảo mật và Phòng ngừa

Để giảm thiểu rủi ro từ các cuộc tấn công tương tự, các tổ chức cần thực hiện các biện pháp phòng ngừa và giám sát chặt chẽ.

Xác minh Nguồn gốc Kho lưu trữ

Luôn xác minh tính xác thực của kho lưu trữ trước khi tải xuống bất kỳ tệp nào từ các bản fork trên GitHub. Điều này giúp ngăn chặn nguy cơ xâm nhập mạng thông qua các nguồn không đáng tin cậy.

Giám sát Chỉ số Thỏa hiệp (IOCs)

Các đội bảo mật được khuyến nghị giám sát chặt chẽ các chỉ số thỏa hiệp (IOCs) như hash tệp và các chỉ báo mạng. Việc triển khai các giải pháp phát hiện xâm nhập trên endpoint là cần thiết để đối phó với mã độc.

Ví dụ về lệnh kiểm tra hash tệp trên hệ thống Linux:

sha256sum Software_3.1.zip

Ví dụ về cấu hình tường lửa cơ bản để chặn các tên miền C2 đã biết:

# Debian/Ubuntu UFW
sudo ufw deny out to nexusrules.officeapps.live.com
sudo ufw deny out to svc.ha-teams.office.com

# CentOS/RHEL FirewallD
sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" destination address="nexusrules.officeapps.live.com" reject'
sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" destination address="svc.ha-teams.office.com" reject'
sudo firewall-cmd --reload

Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)

Các chỉ số thỏa hiệp liên quan đến mã độc này bao gồm:

  • Hash tệp (SHA256):39b29c38c03868854fb972e7b18f22c2c76520cfb6edf46ba5a5618f74943eac
  • Tên tệp độc hại:Software_3.1.zip
  • Mật khẩu giải nén:infected
  • Tên miền C2:
    • nexusrules.officeapps.live.com
    • svc.ha-teams.office.com
  • Tên miền IP Discovery:ip-api.com
  • Tên miền Blockchain Communication:polygon-rpc.com
  • Công cụ giải nén:7za.exe