Vừa mới phát hiện điều khá đáng lo ngại mà các nhà nghiên cứu bảo mật tại ReversingLabs đã phát hiện. Rõ ràng một nhóm hacker Triều Tiên đã thành công trong việc chèn mã độc vào một công cụ giao dịch tiền điện tử phổ biến bằng cách ngụy trang trong một gói npm có tên PromptMink.

Dưới đây là cách nó xảy ra: ReversingLabs phát hiện ra rằng cửa hậu này được tạo ra bằng mô hình AI của Claude và được cấy vào openpaw-graveyard, một dự án mã nguồn mở về tiền điện tử. Những kẻ tấn công đứng sau điều này đến từ Famous Chollima, một nhóm được nhà nước bảo trợ đã thực hiện hoạt động này ít nhất từ tháng 9 năm 2025. Cách tiếp cận của họ khá tinh vi - họ sử dụng chiến lược hai lớp, trong đó gói đầu tiên trông có vẻ sạch sẽ nhưng gói thứ hai mới chứa payload thực sự. Khi các nhà phát triển loại bỏ phiên bản độc hại, họ chỉ cần đẩy một bản thay thế cùng ngày.

Điều làm cho vấn đề trở nên tồi tệ hơn là cách malware đã tiến hóa. Hiện tại nó được biên dịch thành một payload Rust gây ra thiệt hại nghiêm trọng sau khi cài đặt. Chúng ta đang nói về việc đánh cắp thông tin xác thực ví, thu thập thông tin hệ thống, trích xuất mã nguồn, và cấy ghép khóa SSH để duy trì quyền truy cập cửa hậu trên cả hệ thống Linux và Windows.

ReversingLabs đã theo dõi điều này, và nó là một lời nhắc nhở rõ ràng về độ mong manh của chuỗi cung ứng trong lĩnh vực crypto. Những cuộc tấn công này nhằm vào các công cụ mà các nhà phát triển sử dụng hàng ngày, điều này có nghĩa là chúng có thể làm tổn hại toàn bộ các dự án. Thật đáng lo khi biết rằng chúng đang sử dụng mã do AI tạo ra để tránh bị phát hiện, khiến vấn đề trở nên phức tạp hơn. Nếu bạn đang chạy các công cụ crypto, đặc biệt là bất cứ thứ gì lấy từ các gói npm, thì đây là điều đáng chú ý. Hãy đảm bảo rằng các phụ thuộc của bạn thực sự đến từ các nguồn đáng tin cậy và giữ cho hệ thống của bạn luôn được cập nhật bản vá.