Bybit, sàn giao dịch tiền mã hóa lớn thứ hai thế giới theo khối lượng giao dịch, cho biết Trung tâm Vận hành An ninh (SOC) của mình đã công bố kết quả chi tiết về một chiến dịch phần mềm độc hại tinh vi, nhiều giai đoạn, nhắm vào người dùng macOS tìm kiếm “Claude Code”, một công cụ phát triển được hỗ trợ bởi AI từ Anthropic.
Báo cáo này là một trong những tiết lộ đầu tiên được biết đến từ một sàn giao dịch tiền mã hóa tập trung (CEX) về một chiến dịch đe dọa đang hoạt động nhắm vào các nhà phát triển thông qua các kênh tìm kiếm công cụ AI, nhấn mạnh vai trò ngày càng tăng của ngành trong tuyến đầu tình báo an ninh mạng.
Lần đầu được phát hiện vào tháng 3 năm 2026, chiến dịch đã sử dụng kỹ thuật đầu độc tối ưu hóa công cụ tìm kiếm (SEO poisoning) để đẩy một tên miền độc hại lên đầu kết quả tìm kiếm Google. Người dùng bị chuyển hướng đến một trang cài đặt giả mạo được thiết kế giống chặt chẽ với tài liệu hợp pháp, kích hoạt một chuỗi tấn công hai giai đoạn tập trung vào đánh cắp thông tin đăng nhập, nhắm vào tài sản tiền mã hóa và duy trì quyền truy cập lâu dài vào hệ thống.
Tải trọng ban đầu, được phân phối thông qua một trình thả Mach-O, triển khai một mã đánh cắp thông tin (infostealer) dựa trên osascript thể hiện các đặc điểm tương tự với các biến thể AMOS và Banshee đã biết. Nó thực thi một chuỗi làm rối nhiều giai đoạn để trích xuất dữ liệu nhạy cảm bao gồm thông tin đăng nhập trình duyệt, các mục trong macOS Keychain, phiên Telegram, hồ sơ VPN và thông tin ví tiền mã hóa. Các nhà nghiên cứu của Bybit xác định các nỗ lực truy cập có chủ đích vào hơn 250 tiện ích mở rộng ví trên trình duyệt và nhiều ứng dụng ví trên máy tính.
Tải trọng giai đoạn hai đưa vào một cửa hậu (backdoor) viết bằng C++ với khả năng né tránh nâng cao, bao gồm phát hiện sandbox và cấu hình thời gian chạy được mã hóa. Phần mềm độc hại thiết lập tính bền vững thông qua các tác nhân cấp hệ thống và cho phép thực thi lệnh từ xa thông qua cơ chế thăm dò (polling) qua HTTP, trao cho kẻ tấn công quyền kiểm soát liên tục đối với các thiết bị bị xâm phạm.
SOC của Bybit đã tận dụng các quy trình làm việc được hỗ trợ bởi AI trên toàn bộ vòng đời phân tích phần mềm độc hại, tăng tốc đáng kể thời gian ứng phó đồng thời vẫn duy trì chiều sâu phân tích. Việc phân loại và xử lý ban đầu mẫu Mach-O được hoàn thành trong vài phút, với các mô hình gắn cờ các điểm tương đồng về hành vi với các họ mã độc đã biết.
Kỹ thuật đảo ngược (reverse engineering) và phân tích luồng điều khiển được hỗ trợ bởi AI đã rút ngắn thời gian cần thiết để kiểm tra chuyên sâu cửa hậu giai đoạn hai từ ước tính sáu đến tám giờ xuống còn dưới 40 phút. Đồng thời, các quy trình trích xuất tự động đã xác định các chỉ báo xâm nhập (IOC) – bao gồm hạ tầng chỉ huy–điều khiển, chữ ký tệp và các mẫu hành vi – và ánh xạ chúng với các khung đe dọa đã được thiết lập.
Những khả năng này cho phép triển khai các biện pháp phát hiện trong cùng ngày. Việc tạo quy tắc được hỗ trợ bởi AI giúp xây dựng các chữ ký mối đe dọa và quy tắc phát hiện trên thiết bị đầu cuối, sau đó được các nhà phân tích xác thực trước khi được đưa vào môi trường sản xuất. Các bản nháp báo cáo do AI tạo ra còn rút ngắn thêm thời gian xử lý, giúp sản phẩm tình báo mối đe dọa được hoàn thiện nhanh hơn khoảng 70% so với quy trình truyền thống.
"Là một trong những sàn giao dịch tiền mã hóa đầu tiên công khai ghi chép loại chiến dịch phần mềm độc hại này, chúng tôi tin rằng việc chia sẻ các phát hiện là rất quan trọng để củng cố khả năng phòng thủ tập thể trong toàn ngành," David Zong, Giám đốc Kiểm soát Rủi ro Tập đoàn và An ninh tại Bybit cho biết. "SOC được hỗ trợ bởi AI cho phép chúng tôi chuyển từ phát hiện sang quan sát toàn bộ chuỗi tấn công (kill chain) trong một khoảng thời gian vận hành duy nhất. Những việc trước đây cần một nhóm nhà phân tích làm việc qua nhiều ca – giải mã, trích xuất IOC, soạn thảo báo cáo, viết quy tắc – nay được hoàn thành trong một phiên làm việc, với AI xử lý phần nặng và các nhà phân tích của chúng tôi đưa ra phán đoán và xác thực."
Cuộc điều tra cũng phát hiện các chiến thuật kỹ nghệ xã hội, bao gồm các cửa sổ yêu cầu mật khẩu macOS giả mạo được sử dụng để xác thực và lưu đệm thông tin đăng nhập của người dùng. Trong một số trường hợp, kẻ tấn công cố gắng thay thế các ứng dụng ví tiền mã hóa hợp pháp như Ledger Live và Trezor Suite bằng các phiên bản trojan được lưu trữ trên hạ tầng độc hại.
Phần mềm độc hại này nhắm vào nhiều môi trường khác nhau, bao gồm các trình duyệt nhân Chromium, các biến thể Firefox, dữ liệu Safari, ứng dụng Ghi chú (Apple Notes) và các thư mục tệp cục bộ thường được dùng để lưu trữ dữ liệu tài chính hoặc dữ liệu xác thực nhạy cảm.
Bybit đã xác định nhiều tên miền và điểm cuối chỉ huy–điều khiển có liên quan đến chiến dịch; tất cả đều đã được vô hiệu hóa trước khi công bố công khai. Phân tích cho thấy kẻ tấn công dựa vào cơ chế thăm dò HTTP không liên tục thay vì kết nối liên tục, khiến việc phát hiện trở nên khó khăn hơn.
Sự cố này phản ánh xu hướng gia tăng các cuộc tấn công nhắm vào nhà phát triển thông qua kết quả tìm kiếm bị thao túng, đặc biệt khi các công cụ AI được chấp nhận rộng rãi. Các nhà phát triển vẫn là mục tiêu giá trị cao do họ có quyền truy cập vào mã nguồn, hạ tầng và các hệ thống tài chính.
Bybit xác nhận rằng hạ tầng độc hại đã được xác định vào ngày 12 tháng 3, với toàn bộ quá trình phân tích, giảm thiểu và triển khai biện pháp phát hiện được hoàn thành trong cùng ngày. Công bố công khai được thực hiện vào ngày 20 tháng 3, cùng với hướng dẫn phát hiện chi tiết.
#Bybit / #CryptoArk / #NewFinancialPlatform
Về Bybit
Bybit là sàn giao dịch tiền mã hóa lớn thứ hai thế giới theo khối lượng giao dịch, phục vụ cộng đồng hơn 80 triệu người dùng toàn cầu. Được thành lập năm 2018, Bybit đang tái định nghĩa tính cởi mở trong thế giới phi tập trung bằng cách tạo ra một hệ sinh thái đơn giản hơn, mở và công bằng cho mọi người. Với trọng tâm mạnh mẽ vào Web3, Bybit hợp tác chiến lược với các giao thức blockchain hàng đầu để cung cấp hạ tầng vững chắc và thúc đẩy đổi mới trên chuỗi. Nổi tiếng với dịch vụ lưu ký an toàn, hệ sinh thái thị trường đa dạng, trải nghiệm người dùng trực quan và các công cụ blockchain tiên tiến, Bybit kết nối khoảng cách giữa tài chính truyền thống (TradFi) và tài chính phi tập trung (DeFi), trao quyền cho nhà xây dựng, nhà sáng tạo và người đam mê khai mở toàn bộ tiềm năng của Web3. Khám phá tương lai của tài chính phi tập trung tại Bybit.com.
Để biết thêm chi tiết về Bybit, vui lòng truy cập Bybit Press
Để liên hệ truyền thông, vui lòng gửi email: [email protected]
Để cập nhật tin tức, vui lòng theo dõi: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
