-
09/04/2020
-
128
-
1.731 bài viết
OpenClaw Trap: Dự án GitHub giả phát tán mã độc nhắm tới đội dev và các game thủ
Một chiến dịch phát tán mã độc quy mô lớn đang âm thầm lan rộng thông qua các dự án GitHub giả mạo, nhắm trực tiếp vào lập trình viên, game thủ, người chơi Roblox và cả người dùng tiền mã hóa. Chiến dịch này, được các nhà nghiên cứu đặt tên là “OpenClaw Trap” (nội bộ gọi là TroyDen’s Lure Factory), sử dụng một biến thể trojan LuaJIT được tùy biến tinh vi nhằm né tránh các cơ chế phát hiện tự động. Mức độ hoàn thiện của mã độc cùng cách tổ chức hạ tầng cho thấy đây không phải hoạt động nhỏ lẻ mà là một chiến dịch được đầu tư bài bản, có dấu hiệu tận dụng AI để tự động hóa quá trình tạo và phát tán mã độc ở quy mô lớn.
Chiến dịch được triển khai xoay quanh một dự án GitHub giả mạo mang tên AAAbiola/openclaw-docker, được ngụy trang như công cụ triển khai Docker cho dự án OpenClaw AI hợp pháp. Dự án này được xây dựng rất thuyết phục với README hướng dẫn chi tiết cho cả Windows và Linux, GitHub Pages đi kèm và có cả những tài khoản đóng góp uy tín. Để tăng độ tin cậy, kẻ tấn công còn sử dụng nhiều tài khoản phụ nhằm “bơm” sao và fork, đồng thời gắn các tag như ai-agents, docker, openclaw, LLM để đẩy dự án lên đầu kết quả tìm kiếm.
Sau khi xây dựng được lớp vỏ ngụy trang đáng tin cậy trên GitHub, kẻ tấn công bắt đầu phát tán mã độc trên diện rộng. Phân tích từ Netskope cho thấy cùng một bộ công cụ độc hại đã được phân phối thông qua hơn 300 gói khác nhau, bao gồm cheat game, công cụ theo dõi điện thoại, phần mềm crack VPN và các script Roblox. Điều này cho thấy chiến dịch không chỉ nhắm vào một nhóm mục tiêu cụ thể mà mở rộng ra nhiều cộng đồng người dùng khác nhau.
Toàn bộ các biến thể này đều kết nối về cùng một hạ tầng máy chủ điều khiển đặt tại Frankfurt, Đức, với ít nhất 8 địa chỉ IP hoạt động phía sau theo cơ chế cân bằng tải. Cách tổ chức này cho thấy hệ thống được xây dựng để phục vụ phát tán và vận hành ở quy mô lớn.
Đáng chú ý, chiến dịch còn được liên kết với một kênh Telegram mang tên @NumberLocationTrack, hoạt động từ tháng 6/2025 dưới danh nghĩa TroyDen. Chi tiết này cho thấy hạ tầng và hoạt động của nhóm tấn công đã được chuẩn bị từ nhiều tháng trước, trước cả khi các dự án GitHub giả mạo bắt đầu xuất hiện.
Một chi tiết đáng chú ý nằm ở cách kẻ tấn công đặt tên các thư mục lure. Thay vì sử dụng những tên gọi thông thường, chúng chọn các thuật ngữ hiếm gặp từ sinh học, Latin cổ và y khoa. Theo các nhà nghiên cứu, kiểu đặt tên này nhiều khả năng được tạo tự động, qua đó củng cố nhận định rằng chiến dịch có thể đã tận dụng AI để tạo nội dung ở quy mô lớn.
Không chỉ dừng lại ở đó, quá trình phân tích lưu lượng còn phát hiện một chuỗi phân tách dữ liệu (boundary) dài 38 ký tự được giữ cố định trong mọi request gửi về máy chủ C2. Dấu hiệu bất thường này cho thấy phần backend phía máy chủ nhiều khả năng cũng được tạo bằng công cụ tự động, thay vì được xây dựng thủ công.
Điểm kỹ thuật đáng chú ý nhất của chiến dịch nằm ở cơ chế tách payload nhằm né tránh phân tích. Mỗi gói ZIP chứa ba thành phần gồm file thực thi Launch.bat, một runtime LuaJIT được đổi tên thành unc.exe và một script Lua bị làm rối, ngụy trang dưới dạng license.txt. Khi bị phân tích riêng lẻ, từng thành phần đều có vẻ vô hại và không kích hoạt cảnh báo. Chỉ khi Launch.bat được thực thi, nó mới gọi unc.exe để chạy script Lua theo đúng trình tự, từ đó kích hoạt toàn bộ payload. Cách thiết kế này cho phép mã độc vượt qua các hệ thống sandbox vốn kiểm tra từng file riêng biệt, khiến quá trình phân tích tự động không phát hiện được hành vi thực sự.
Cấu trúc payload hai phần gồm Launch.bat, unc.exe và license.txt
Sau khi được kích hoạt, mã độc tiến hành một loạt bước kiểm tra môi trường nhằm phát hiện dấu hiệu phân tích, bao gồm kiểm tra debugger, dung lượng RAM thấp, thời gian hoạt động của hệ thống, quyền truy cập và cả tên máy. Nếu phát hiện bất thường, tiến trình sẽ dừng lại để tránh bị phân tích. Ngược lại, nếu vượt qua các kiểm tra này, payload sẽ kích hoạt một lệnh Sleep với thời gian trì hoãn tương đương khoảng 29.000 năm. Khoảng trì hoãn cực lớn này đủ để vượt qua giới hạn thời gian của hầu hết sandbox, khiến hệ thống phân tích trả về kết quả an toàn, trong khi mã độc vẫn âm thầm tiếp tục hoạt động trên máy thật.
Script Lua sau đó tiếp tục bị làm rối bằng Prometheus Obfuscator nhằm phá vỡ luồng điều khiển, khiến việc phân tích tĩnh trở nên khó khăn. Đồng thời, mã độc thực hiện 4 thay đổi trong registry để vô hiệu hóa cơ chế tự động phát hiện proxy của Windows, qua đó cho phép lưu lượng kết nối ra ngoài mà không bị các lớp giám sát mạng nội bộ phát hiện.
Ở giai đoạn tiếp theo, payload tiến hành chụp toàn bộ màn hình nạn nhân và gửi về máy chủ điều khiển tại Frankfurt thông qua một request multipart POST với chuỗi phân tách dữ liệu cố định. Phía máy chủ sau đó phản hồi bằng các blob đã được mã hóa, chứa tác vụ và thành phần loader, được lưu vào thư mục Documents để tiếp tục triển khai các bước tấn công tiếp theo.
Mặc dù không trực tiếp triển khai các hành vi phá hoại rõ ràng, payload cho thấy mục tiêu chính của chiến dịch là thu thập thông tin từ máy nạn nhân và mở đường cho các giai đoạn tấn công tiếp theo. Việc chụp toàn bộ màn hình, gửi dữ liệu về máy chủ điều khiển và nhận lại các tác vụ đã mã hóa cho thấy hệ thống bị xâm nhập có thể tiếp tục bị khai thác sâu hơn, tùy theo chỉ thị từ phía kẻ vận hành.
Cách tiếp cận này cho phép kẻ tấn công linh hoạt triển khai nhiều kịch bản khác nhau sau khi xâm nhập ban đầu, từ đánh cắp thông tin, theo dõi hoạt động người dùng cho đến phân phối thêm mã độc, biến máy nạn nhân thành một phần trong hạ tầng tấn công.
Script Lua sau đó tiếp tục bị làm rối bằng Prometheus Obfuscator nhằm phá vỡ luồng điều khiển, khiến việc phân tích tĩnh trở nên khó khăn. Đồng thời, mã độc thực hiện 4 thay đổi trong registry để vô hiệu hóa cơ chế tự động phát hiện proxy của Windows, qua đó cho phép lưu lượng kết nối ra ngoài mà không bị các lớp giám sát mạng nội bộ phát hiện.
Ở giai đoạn tiếp theo, payload tiến hành chụp toàn bộ màn hình nạn nhân và gửi về máy chủ điều khiển tại Frankfurt thông qua một request multipart POST với chuỗi phân tách dữ liệu cố định. Phía máy chủ sau đó phản hồi bằng các blob đã được mã hóa, chứa tác vụ và thành phần loader, được lưu vào thư mục Documents để tiếp tục triển khai các bước tấn công tiếp theo.
Mặc dù không trực tiếp triển khai các hành vi phá hoại rõ ràng, payload cho thấy mục tiêu chính của chiến dịch là thu thập thông tin từ máy nạn nhân và mở đường cho các giai đoạn tấn công tiếp theo. Việc chụp toàn bộ màn hình, gửi dữ liệu về máy chủ điều khiển và nhận lại các tác vụ đã mã hóa cho thấy hệ thống bị xâm nhập có thể tiếp tục bị khai thác sâu hơn, tùy theo chỉ thị từ phía kẻ vận hành.
Cách tiếp cận này cho phép kẻ tấn công linh hoạt triển khai nhiều kịch bản khác nhau sau khi xâm nhập ban đầu, từ đánh cắp thông tin, theo dõi hoạt động người dùng cho đến phân phối thêm mã độc, biến máy nạn nhân thành một phần trong hạ tầng tấn công.
Thông tin liên lạc và ảnh chụp màn hình bị đánh cắp (Nguồn: Netskope)
Các hệ thống từng tải xuống hoặc thực thi các gói từ những repo liên quan cần được coi là đã bị xâm nhập và phải được xử lý như một sự cố an ninh. Các đơn vị vận hành hệ thống và an ninh thông tin cần lập tức tiến hành điều tra, rà soát dấu hiệu truy cập trái phép, đồng thời triển khai toàn bộ các chỉ dấu tấn công (IOC) vào hệ thống EDR và công cụ giám sát mạng để phát hiện các điểm nhiễm còn sót lại. Toàn bộ kết nối tới các địa chỉ IP thuộc hạ tầng C2 đã được xác định cần bị chặn ngay ở cấp độ mạng.
Song song với đó, cần tăng cường kiểm soát đối với các nguồn tải phần mềm từ GitHub, đặc biệt là những dự án có dấu hiệu bất thường như sử dụng interpreter bị đổi tên đi kèm các file dữ liệu không rõ ràng. Các trường hợp này cần được đưa vào diện kiểm tra ưu tiên cao, bởi đây là dấu hiệu điển hình của các chiến dịch phát tán mã độc được ngụy trang tinh vi.
Song song với đó, cần tăng cường kiểm soát đối với các nguồn tải phần mềm từ GitHub, đặc biệt là những dự án có dấu hiệu bất thường như sử dụng interpreter bị đổi tên đi kèm các file dữ liệu không rõ ràng. Các trường hợp này cần được đưa vào diện kiểm tra ưu tiên cao, bởi đây là dấu hiệu điển hình của các chiến dịch phát tán mã độc được ngụy trang tinh vi.
Theo Cyber Security News