-
09/04/2020
-
116
-
1.187 bài viết
Hacker giấu mã độc trong blockchain, tấn công người dùng qua website WordPress
Blockchain vốn được ca ngợi là công nghệ minh bạch, phi tập trung nhưng trong tay tin tặc nó lại trở thành công cụ hoàn hảo để ẩn giấu mã độc. Mới đây, nhóm tin tặc UNC5142 đã bị phát hiện lợi dụng hợp đồng thông minh trên chuỗi BNB Smart Chain để phát tán các mã độc đánh cắp thông tin người dùng, bao gồm: Atomic Stealer, Lumma, Rhadamanthys và Vidar.
Điều đáng nói, chiến dịch này tấn công cả người dùng Windows và macOS, dùng chính các website WordPress bị xâm nhập làm bàn đạp lây lan.
Theo báo cáo của Google, chỉ tính đến tháng 6/2025, có hơn 14.000 trang web WordPress bị chèn mã JavaScript độc hại liên quan đến nhóm UNC5142. Dù nhóm này tạm thời “im ắng” từ tháng 7/2025 nhưng chiến thuật của chúng đang khiến giới chuyên gia bảo mật đặc biệt lo ngại.
Thay vì lưu mã độc trên server ẩn danh hoặc file-sharing như trước, UNC5142 giấu mã độc ngay trong hợp đồng thông minh blockchain, khiến việc gỡ bỏ gần như bất khả thi. Một khi mã độc đã được ghi vào blockchain, nó tồn tại vĩnh viễn vì dữ liệu trên chuỗi không thể xóa hay chỉnh sửa.
Chiến dịch này sử dụng một trình tải đa tầng có tên CLEARSHORT (đây là biến thể của ClearFake từng được phát hiện từ năm 2023). Giai đoạn đầu, mã JavaScript được cấy vào plugin hoặc theme của website WordPress. Mã này sẽ gọi đến hợp đồng thông minh trên BNB Smart Chain - nơi chứa địa chỉ máy chủ điều khiển và dữ liệu giải mã.
Từ đó, nạn nhân sẽ bị chuyển hướng đến trang web giả mạo cập nhật trình duyệt (fake update), thường được lưu trữ trên các tên miền hợp pháp như Cloudflare .dev khiến người dùng khó nhận ra. Khi truy cập, nạn nhân bị dụ chạy một lệnh độc hại qua cửa sổ Run trên Windows hoặc Terminal trên macOS để tải và chạy mã độc đánh cắp dữ liệu.
Trên Windows, mã độc tải xuống file HTA từ MediaFire, chạy PowerShell để tải mã độc thực thi trực tiếp trong bộ nhớ (fileless malware) giúp tránh bị phần mềm diệt virus phát hiện.
Trong khi đó, trên macOS, người dùng bị lừa chạy lệnh bash hoặc curl để tải Atomic Stealer (mã độc chuyên đánh cắp dữ liệu ví tiền điện tử, mật khẩu và cookie).
Google cho biết UNC5142 đã tinh vi hơn qua từng giai đoạn. Ban đầu chỉ dùng một hợp đồng thông minh, đến cuối năm 2024, chúng phát triển thành kiến trúc ba hợp đồng (Router - Logic - Storage) mô phỏng theo mô hình proxy trong lập trình hợp pháp. Cách này cho phép hacker thay đổi đường dẫn tải mã độc, khóa giải mã hoặc máy chủ điều khiển chỉ với vài thao tác cập nhật dữ liệu hợp đồng, tiêu tốn chưa tới 2 USD phí mạng.
Nhờ đó, dù các chuyên gia an ninh chặn hoặc gỡ mã JavaScript trên web bị nhiễm, hacker vẫn có thể nhanh chóng “cập nhật” chiến dịch mà không phải chỉnh lại toàn bộ mã, cực kỳ linh hoạt và khó bị triệt hạ.
Google còn phát hiện hai hạ tầng riêng biệt:
Các chiến dịch kiểu này đánh trực tiếp vào người dùng Internet thông thường. Đồng thời, các quản trị viên website WordPress cũng là mục tiêu trung gian quan trọng: khi website bị cấy mã độc, nó vô tình trở thành công cụ phát tán.
Nguy cơ chính người dùng sẽ phải đối mặt:
Điều đáng nói, chiến dịch này tấn công cả người dùng Windows và macOS, dùng chính các website WordPress bị xâm nhập làm bàn đạp lây lan.
Theo báo cáo của Google, chỉ tính đến tháng 6/2025, có hơn 14.000 trang web WordPress bị chèn mã JavaScript độc hại liên quan đến nhóm UNC5142. Dù nhóm này tạm thời “im ắng” từ tháng 7/2025 nhưng chiến thuật của chúng đang khiến giới chuyên gia bảo mật đặc biệt lo ngại.
Thay vì lưu mã độc trên server ẩn danh hoặc file-sharing như trước, UNC5142 giấu mã độc ngay trong hợp đồng thông minh blockchain, khiến việc gỡ bỏ gần như bất khả thi. Một khi mã độc đã được ghi vào blockchain, nó tồn tại vĩnh viễn vì dữ liệu trên chuỗi không thể xóa hay chỉnh sửa.
Chiến dịch này sử dụng một trình tải đa tầng có tên CLEARSHORT (đây là biến thể của ClearFake từng được phát hiện từ năm 2023). Giai đoạn đầu, mã JavaScript được cấy vào plugin hoặc theme của website WordPress. Mã này sẽ gọi đến hợp đồng thông minh trên BNB Smart Chain - nơi chứa địa chỉ máy chủ điều khiển và dữ liệu giải mã.
Từ đó, nạn nhân sẽ bị chuyển hướng đến trang web giả mạo cập nhật trình duyệt (fake update), thường được lưu trữ trên các tên miền hợp pháp như Cloudflare .dev khiến người dùng khó nhận ra. Khi truy cập, nạn nhân bị dụ chạy một lệnh độc hại qua cửa sổ Run trên Windows hoặc Terminal trên macOS để tải và chạy mã độc đánh cắp dữ liệu.
Trên Windows, mã độc tải xuống file HTA từ MediaFire, chạy PowerShell để tải mã độc thực thi trực tiếp trong bộ nhớ (fileless malware) giúp tránh bị phần mềm diệt virus phát hiện.
Trong khi đó, trên macOS, người dùng bị lừa chạy lệnh bash hoặc curl để tải Atomic Stealer (mã độc chuyên đánh cắp dữ liệu ví tiền điện tử, mật khẩu và cookie).
Google cho biết UNC5142 đã tinh vi hơn qua từng giai đoạn. Ban đầu chỉ dùng một hợp đồng thông minh, đến cuối năm 2024, chúng phát triển thành kiến trúc ba hợp đồng (Router - Logic - Storage) mô phỏng theo mô hình proxy trong lập trình hợp pháp. Cách này cho phép hacker thay đổi đường dẫn tải mã độc, khóa giải mã hoặc máy chủ điều khiển chỉ với vài thao tác cập nhật dữ liệu hợp đồng, tiêu tốn chưa tới 2 USD phí mạng.
Nhờ đó, dù các chuyên gia an ninh chặn hoặc gỡ mã JavaScript trên web bị nhiễm, hacker vẫn có thể nhanh chóng “cập nhật” chiến dịch mà không phải chỉnh lại toàn bộ mã, cực kỳ linh hoạt và khó bị triệt hạ.
Google còn phát hiện hai hạ tầng riêng biệt:
- Hạ tầng chính (Main infrastructure) hoạt động từ tháng 11/2024, được cập nhật đều đặn.
- Hạ tầng phụ (Secondary infrastructure) xuất hiện tháng 2/2025, có thể được dùng để thử nghiệm hoặc tăng quy mô tấn công.
Các chiến dịch kiểu này đánh trực tiếp vào người dùng Internet thông thường. Đồng thời, các quản trị viên website WordPress cũng là mục tiêu trung gian quan trọng: khi website bị cấy mã độc, nó vô tình trở thành công cụ phát tán.
Nguy cơ chính người dùng sẽ phải đối mặt:
- Người dùng cá nhân bị đánh cắp dữ liệu đăng nhập, ví tiền điện tử, cookie trình duyệt.
- Website doanh nghiệp hoặc blog bị lợi dụng phát tán mã độc, ảnh hưởng uy tín SEO.
- Blockchain bị “ô nhiễm” bởi dữ liệu độc hại khó xóa bỏ.
- Cập nhật WordPress, plugin, theme lên phiên bản mới nhất.
- Xóa mã chèn lạ trong file plugin/theme hoặc cơ sở dữ liệu.
- Cảnh giác với cảnh báo “cập nhật trình duyệt”, đặc biệt khi xuất hiện trên trang không chính chủ.
- Với quản trị viên web, nên quét định kỳ bằng công cụ bảo mật, giám sát tệp JavaScript và hoạt động bất thường.
- Tổ chức doanh nghiệp có thể áp dụng CSP (Content Security Policy) và WAF để ngăn chèn mã trái phép.
WhiteHat