Cách một Nhà sáng lập Web3 trở thành nạn nhân của phần mềm độc hại “BeaverTail” nổi tiếng của Triều Tiên

Nhà sáng lập Web3 Akshit Ostwal mất $20K vào tay phần mềm độc hại BeaverTail của Bắc Triều Tiên trong một vụ lừa đảo crypto tinh vi nhắm vào các nhà phát triển.

Không gian Web3 gần đây đã nhận được một lời nhắc nhở nghiêm trọng trong tuần này. Akshit Ostwal, đồng sáng lập của Epoch Protocol, đã mất hơn 20.000 đô la sau khi giúp một người bạn với một cuộc phỏng vấn kỹ thuật thông thường.

Sự cố này chỉ ra chiến dịch liên tục của các hacker Bắc Triều Tiên nhằm vào chính những người xây dựng tương lai của internet.

Khởi nguồn của vụ lừa đảo Crypto đắt giá này

Vấn đề bắt đầu từ năm ngoái vào ngày 18 tháng 12, với một yêu cầu đơn giản từ một người bạn. Người bạn này đang ứng tuyển cho một công việc mới và yêu cầu Ostwal xem xét một kho lưu trữ mã nguồn.

Người bạn tin rằng mã nguồn này đến từ một nhà tuyển dụng hợp pháp tại một công ty nổi bật.

Ostwal muốn giúp đỡ và đã chạy mã của bên thứ ba trên máy của mình.

https://t.co/FCHfkGQdeA

— (AK) Akshit | Epoch Protocol 🦇🔊🛡️ (@OstwalAk) 8 tháng 1, 2026

Hành động tử tế này đã mở ra cánh cửa cho chiến dịch “Phỏng vấn lây nhiễm”, liên kết với nhóm Lazarus nổi tiếng do nhà nước Bắc Triều Tiên tài trợ.

Thay vì phishing hàng loạt, các hacker này giờ sử dụng kỹ thuật xã hội cao cấp để lừa các nhà phát triển chạy các tệp đã bị chỉnh sửa.

Phân tích cuộc tấn công phần mềm độc hại BeaverTail

Ostwal đã ghi nhận trong một bài đăng trên X rằng khi anh chạy mã, một chuỗi lây nhiễm im lặng bắt đầu trên máy của anh.

Các chuyên gia an ninh tại Seal911 xác định thủ phạm chính là phần mềm độc hại BeaverTail. Phần mềm này dựa trên JavaScript thường được sử dụng cùng với một cửa hậu thứ cấp gọi là InvisibleFerret.

Khi sử dụng cùng nhau, chúng trở thành một cặp đôi gần như không thể ngăn cản trong việc đánh cắp crypto cho bất kỳ môi trường phát triển nào.

Theo Ostwal, phần mềm độc hại hoạt động qua nhiều giai đoạn:

Giai đoạn đầu là thực thi tự động, khi máy chủ cục bộ khởi động, một tệp có tên analytics.controller.js bắt đầu chạy một chức năng ẩn.

Tiếp theo, script ngay lập tức gửi các biến môi trường hệ thống của Ostwal đến kẻ tấn công. Điều này bao gồm các mục nhạy cảm như URL cơ sở dữ liệu và khóa riêng tư.

Cuối cùng, máy chủ của kẻ tấn công gửi lại mã JavaScript độc hại, thực thi với quyền root trên thiết bị bị nhiễm.

Chẳng bao lâu, 20.000 đô la đã bị tiêu tan.

Tại sao vụ lừa đảo crypto này vẫn ẩn giấu

Đáng chú ý, các hacker không chuyển tiền ngay lập tức. Thay vào đó, họ có thể đã duy trì một cửa hậu trên thiết bị của Ostwal gần một tháng. Trong thời gian này, họ viết các script tùy chỉnh để unstake danh mục DeFi của anh ấy.

Họ cũng chờ đợi thời điểm hoàn hảo để “quét sạch” tất cả tài sản của anh ấy trong một giao dịch duy nhất.

Cuối cùng, các hacker nhắm vào cả ví tương thích EVM và tài khoản Solana.

Họ sử dụng các công cụ như Near-Intents và Rubic Exchange để chuyển số tiền bị đánh cắp. Chiến thuật “chuyển chuỗi” này khiến các nhà điều tra khó theo dõi số tiền qua các blockchain khác nhau.

Đọc thêm: 3,4 tỷ đô la bị đánh cắp: Bắc Triều Tiên dẫn đầu kỷ lục $2 tỷ đô la trong các vụ trộm crypto năm nay

Quy mô trộm cắp kỷ lục của Bắc Triều Tiên

Kinh nghiệm của Ostwal là một phần trong sự gia tăng lớn của tội phạm mạng. Dữ liệu từ Báo cáo Tội phạm Crypto 2026 cho thấy các hacker Bắc Triều Tiên đã trộm 2,02 tỷ đô la chỉ trong năm ngoái.

Con số này chiếm phần lớn trong tổng số 3,4 tỷ đô la bị mất do trộm cắp crypto toàn cầu trong năm đó.

Chiến dịch “Phỏng vấn lây nhiễm” đã chứng minh hiệu quả đáng kể. Các hacker tạo ra hàng trăm gói NPM độc hại và sử dụng AI để tạo ra các phản hồi phỏng vấn nghe có vẻ con người.

Nói cách khác, họ đã biến thị trường việc làm thành một mìn cho các kỹ sư phần mềm.