Phần mềm độc hại GitVenom
Các chuyên gia an ninh mạng đang lên tiếng báo động về một chiến dịch đang diễn ra nhắm vào các game thủ và những người đam mê tiền điện tử thông qua các dự án mã nguồn mở lừa đảo trên GitHub. Được gọi là GitVenom, hoạt động này trải dài trên hàng trăm kho lưu trữ, tất cả đều chứa các dự án giả mạo được thiết kế để đánh cắp thông tin nhạy cảm.
Trong số các dự án gian lận có một công cụ tự động hóa Instagram, một bot Telegram để quản lý ví Bitcoin và một phiên bản bẻ khóa của Valorant. Tuy nhiên, các công cụ này không hoạt động như quảng cáo. Thay vào đó, chúng là những cái bẫy do tội phạm mạng đặt ra để đánh cắp dữ liệu cá nhân và tài chính, bao gồm cả thông tin chi tiết về ví tiền điện tử được sao chép vào bảng tạm.
Mục lục
Hàng triệu người có nguy cơ: Một hoạt động kéo dài
Chiến dịch đe dọa này đã dẫn đến việc đánh cắp ít nhất năm bitcoin, trị giá khoảng 456.600 đô la. Các nhà nghiên cứu tin rằng hoạt động này đã diễn ra trong hơn hai năm, với một số kho lưu trữ lừa đảo có từ thời kỳ đó. Số lượng nỗ lực lây nhiễm đáng kể nhất đã được ghi nhận ở Nga, Brazil và Thổ Nhĩ Kỳ, mặc dù tác động có thể rất sâu rộng.
Mối đe dọa đa ngôn ngữ với một mục tiêu duy nhất
Các dự án GitHub gian lận được viết bằng nhiều ngôn ngữ lập trình, bao gồm Python, JavaScript, C, C++ và C#. Mặc dù có nhiều loại, mục tiêu vẫn như nhau: thực thi một payload ẩn tải xuống các thành phần không an toàn bổ sung từ kho lưu trữ GitHub do kẻ tấn công kiểm soát.
Một trong những mối đe dọa chính là trình đánh cắp thông tin dựa trên Node.js, trích xuất dữ liệu nhạy cảm như mật khẩu đã lưu, thông tin ngân hàng, thông tin xác thực ví tiền điện tử và lịch sử duyệt web. Dữ liệu này được nén vào tệp lưu trữ .7z và bí mật truyền đến kẻ tấn công qua Telegram.
Chiếm quyền từ xa và trộm tiền điện tử
Ngoài việc thu thập thông tin xác thực, các dự án GitHub giả mạo còn triển khai các công cụ quản trị từ xa như AsyncRAT và Quasar RAT. Các chương trình này cho phép tội phạm mạng kiểm soát hoàn toàn các thiết bị bị nhiễm và thực hiện lệnh từ xa.
Ngoài ra, một loại phần mềm độc hại chuyên dụng được gọi là clipper được sử dụng để chiếm đoạt các giao dịch tiền điện tử. Khi nạn nhân sao chép địa chỉ ví tiền điện tử, phần mềm độc hại sẽ hoán đổi địa chỉ đó với địa chỉ do kẻ tấn công kiểm soát, chuyển hướng tiền mà người dùng không biết.
Mối nguy hiểm của các dự án nguồn mở giả mạo
Với hàng triệu nhà phát triển dựa vào các nền tảng như GitHub, các tác nhân đe dọa tiếp tục sử dụng phần mềm giả mạo như một phương pháp lây nhiễm hiệu quả. Điều này nhấn mạnh tầm quan trọng của việc kiểm tra kỹ lưỡng mã của bên thứ ba trước khi tích hợp vào bất kỳ dự án nào. Chạy mã chưa được xác minh mà không phân tích đúng cách có thể khiến người dùng gặp rủi ro bảo mật nghiêm trọng.
Trước khi thực hiện bất kỳ tập lệnh nguồn mở nào, điều cần thiết là phải kiểm tra kỹ lưỡng nội dung của nó, xác minh nguồn của nó và đảm bảo rằng nó không thực hiện các hành động trái phép. Thận trọng là biện pháp phòng thủ tốt nhất chống lại các chiến dịch lừa đảo như vậy.
Các giải đấu thể thao điện tử bị kẻ gian nhắm tới
Trong một diễn biến liên quan, các nhà nghiên cứu an ninh mạng đã phát hiện ra một kế hoạch khác nhắm vào những người chơi Counter-Strike 2 (CS2) trong các sự kiện thể thao điện tử lớn như IEM Katowice 2025 và PGL Cluj-Napoca 2025.
Những kẻ lừa đảo đã chiếm đoạt tài khoản YouTube để mạo danh những game thủ chuyên nghiệp nổi tiếng như S1mple, NiKo và Donk. Bằng cách đóng giả những nhân vật này, tội phạm mạng dụ dỗ người hâm mộ nhẹ dạ cả tin vào các chương trình tặng skin CS2 giả mạo. Những nạn nhân mắc bẫy có nguy cơ mất tài khoản Steam, tiền điện tử và các vật phẩm có giá trị trong trò chơi.
Hãy cảnh giác với sự lừa đảo trực tuyến
Cả hoạt động GitVenom và các chương trình tặng thưởng gian lận CS2 đều nêu bật sự tinh vi ngày càng tăng của các mối đe dọa mạng nhắm vào game thủ và nhà đầu tư tiền điện tử. Khi các chương trình này phát triển, việc luôn cảnh giác, xác minh nguồn và thực hành các biện pháp an ninh mạng tốt nhất vẫn rất quan trọng để tránh các bẫy trực tuyến.
