Trong thông cáo báo chí “Bybit Uncovers AI-Assisted macOS Malware Campaign Targeting Users Searching for Claude Code” được phát hành ngày 21-04-2026 bởi Bybit qua PR Newswire, chúng tôi được công ty cho biết tiêu đề và đoạn thứ 9 đã được cập nhật. Toàn văn thông cáo đã chỉnh sửa như sau:
Đội ngũ An ninh Bybit ứng dụng AI phát hiện chiến dịch phần mềm độc hại macOS nhắm vào người dùng tìm kiếm Claude Code
DUBAI, UAE, ngày 21 tháng 4 năm 2026 /PRNewswire/ -- Bybit, sàn giao dịch tiền mã hóa lớn thứ hai thế giới theo khối lượng giao dịch, cho biết Trung tâm Vận hành An ninh (SOC) của mình đã công bố các phát hiện chi tiết về một chiến dịch phần mềm độc hại đa giai đoạn tinh vi nhắm vào người dùng macOS tìm kiếm “Claude Code”, một công cụ phát triển được hỗ trợ AI của Anthropic.
Báo cáo này là một trong những lần đầu tiên một sàn giao dịch tiền mã hóa tập trung (CEX) công khai tiết lộ một chiến dịch đe dọa đang hoạt động nhắm vào các nhà phát triển thông qua các kênh tìm kiếm công cụ AI, nhấn mạnh vai trò ngày càng tăng của ngành này trong tuyến đầu tình báo an ninh mạng.
Lần đầu được phát hiện vào tháng 3 năm 2026, chiến dịch đã sử dụng kỹ thuật đầu độc tối ưu hóa công cụ tìm kiếm (SEO poisoning) để đẩy một tên miền độc hại lên đầu kết quả tìm kiếm Google. Người dùng bị chuyển hướng tới một trang cài đặt giả mạo được thiết kế giống sát tài liệu hợp pháp, kích hoạt chuỗi tấn công hai giai đoạn tập trung vào đánh cắp thông tin xác thực, nhắm tới tài sản tiền mã hóa và duy trì quyền truy cập hệ thống lâu dài.
Tải trọng ban đầu, được phân phối qua một trình thả Mach-O, triển khai một mã đánh cắp thông tin (infostealer) dựa trên osascript, thể hiện các đặc điểm tương đồng với các biến thể AMOS và Banshee đã biết. Nó thực thi một chuỗi làm rối mã nhiều pha để trích xuất dữ liệu nhạy cảm, bao gồm thông tin đăng nhập trình duyệt, mục Keychain của macOS, phiên Telegram, cấu hình VPN và thông tin ví tiền mã hóa. Các nhà nghiên cứu Bybit đã xác định những nỗ lực truy cập có chủ đích vào hơn 250 tiện ích mở rộng ví trên trình duyệt và nhiều ứng dụng ví trên máy tính.
Tải trọng giai đoạn hai đưa vào một cửa hậu (backdoor) viết bằng C++ với khả năng né tránh nâng cao, bao gồm phát hiện sandbox và cấu hình thời gian chạy được mã hóa. Phần mềm độc hại thiết lập tính bền vững thông qua các tác nhân ở cấp hệ thống và cho phép thực thi lệnh từ xa thông qua cơ chế thăm dò (polling) dựa trên HTTP, cấp cho kẻ tấn công quyền kiểm soát liên tục đối với các thiết bị đã bị xâm phạm.
SOC của Bybit đã tận dụng các quy trình làm việc được hỗ trợ AI trên toàn bộ vòng đời phân tích phần mềm độc hại, giúp rút ngắn đáng kể thời gian phản ứng trong khi vẫn duy trì chiều sâu phân tích. Việc phân loại và xử lý ban đầu mẫu Mach-O hoàn tất chỉ trong vài phút, với các mô hình gắn cờ những điểm tương đồng về hành vi với các họ phần mềm độc hại đã biết.
Kỹ thuật đảo ngược (reverse engineering) và phân tích luồng điều khiển được hỗ trợ AI đã rút ngắn thời gian cần thiết để kiểm tra chuyên sâu cửa hậu giai đoạn hai từ ước tính sáu đến tám giờ xuống dưới 40 phút. Đồng thời, các quy trình trích xuất tự động đã nhận diện các chỉ số xâm nhập (IOC) – bao gồm hạ tầng chỉ huy – điều khiển, chữ ký tệp và các mẫu hành vi – và ánh xạ chúng vào các khung đe dọa đã được thiết lập.
Các năng lực này cho phép triển khai biện pháp phát hiện trong cùng ngày. Việc tạo quy tắc được hỗ trợ AI đã giúp xây dựng chữ ký mối đe dọa và quy tắc phát hiện trên thiết bị đầu cuối, sau đó được các nhà phân tích xác thực trước khi đưa vào môi trường sản xuất. Bản nháp báo cáo do AI tạo ra cũng rút ngắn thời gian hoàn thiện, giúp dữ liệu tình báo mối đe dọa được hoàn tất nhanh hơn khoảng 70% so với quy trình truyền thống.
“Là một trong những sàn giao dịch tiền mã hóa đầu tiên công khai ghi nhận loại chiến dịch phần mềm độc hại này, chúng tôi tin rằng việc chia sẻ các phát hiện là rất quan trọng để củng cố phòng tuyến chung trong toàn ngành,” ông David Zong, Giám đốc Kiểm soát Rủi ro Tập đoàn và An ninh tại Bybit cho biết. “SOC được hỗ trợ AI cho phép chúng tôi chuyển từ phát hiện sang quan sát toàn bộ chuỗi tiêu diệt (kill chain) chỉ trong một khung vận hành. Những gì trước đây cần một đội ngũ nhà phân tích làm việc qua nhiều ca – giải mã, trích xuất IOC, soạn thảo báo cáo, viết quy tắc – nay được hoàn tất trong một phiên làm việc, với AI đảm nhiệm phần việc nặng và các nhà phân tích của chúng tôi đưa ra phán đoán và xác thực. Nhìn về tương lai, chúng ta sẽ phải đối mặt với một cuộc chiến AI. Dùng AI để phòng thủ trước AI là xu hướng tất yếu. Bybit sẽ tiếp tục gia tăng đầu tư vào AI cho an ninh, đạt được khả năng phát hiện mối đe dọa ở cấp độ từng phút và ứng phó khẩn cấp tự động, thông minh.”
Cuộc điều tra cũng phát hiện các thủ đoạn kỹ nghệ xã hội, bao gồm các hộp thoại yêu cầu mật khẩu macOS giả mạo được dùng để xác thực và lưu trữ thông tin đăng nhập của người dùng. Trong một số trường hợp, kẻ tấn công đã cố gắng thay thế các ứng dụng ví tiền mã hóa hợp pháp như Ledger Live và Trezor Suite bằng các phiên bản đã bị cài mã độc, được lưu trữ trên hạ tầng độc hại.
Phần mềm độc hại nhắm mục tiêu vào nhiều môi trường, bao gồm các trình duyệt dựa trên Chromium, các biến thể Firefox, dữ liệu Safari, Apple Notes và các thư mục tệp cục bộ thường được dùng để lưu giữ dữ liệu tài chính hoặc dữ liệu xác thực nhạy cảm.
Bybit đã xác định nhiều tên miền và điểm cuối chỉ huy – điều khiển liên quan đến chiến dịch, tất cả đều đã được “vô hiệu hóa” (defanged) khi công bố ra công chúng. Phân tích cho thấy kẻ tấn công dựa vào cơ chế thăm dò HTTP không liên tục thay vì kết nối thường trực, khiến việc phát hiện khó khăn hơn.
Sự cố này phản ánh xu hướng gia tăng việc kẻ tấn công nhắm vào các nhà phát triển thông qua kết quả tìm kiếm bị thao túng, đặc biệt khi các công cụ AI trở nên phổ biến. Các nhà phát triển tiếp tục là mục tiêu giá trị cao do họ có quyền truy cập mã nguồn, hạ tầng và hệ thống tài chính.
Bybit xác nhận hạ tầng độc hại đã được phát hiện vào ngày 12 tháng 3, với việc hoàn tất toàn bộ quy trình phân tích, giảm thiểu và triển khai biện pháp phát hiện trong cùng ngày. Công bố ra công chúng được thực hiện ngày 20 tháng 3, kèm theo hướng dẫn phát hiện chi tiết.
#Bybit / #CryptoArk / #NewFinancialPlatform
Về Bybit
Bybit là sàn giao dịch tiền mã hóa lớn thứ hai thế giới theo khối lượng giao dịch, phục vụ cộng đồng toàn cầu hơn 80 triệu người dùng. Được thành lập năm 2018, Bybit đang tái định nghĩa tính cởi mở trong thế giới phi tập trung bằng cách tạo ra một hệ sinh thái đơn giản hơn, cởi mở và bình đẳng cho mọi người. Với trọng tâm mạnh mẽ vào Web3, Bybit hợp tác chiến lược với các giao thức blockchain hàng đầu để cung cấp hạ tầng vững chắc và thúc đẩy đổi mới on-chain. Nổi tiếng với cơ chế lưu ký an toàn, các thị trường đa dạng, trải nghiệm người dùng trực quan và các công cụ blockchain tiên tiến, Bybit kết nối tài chính truyền thống (TradFi) và tài chính phi tập trung (DeFi), trao quyền cho các nhà xây dựng, nhà sáng tạo và người đam mê khai mở toàn bộ tiềm năng của Web3. Khám phá tương lai của tài chính phi tập trung tại Bybit.com.
Để biết thêm chi tiết về Bybit, vui lòng truy cập Bybit Press
Đối với yêu cầu truyền thông, vui lòng liên hệ: [email protected]
Để cập nhật thông tin, vui lòng theo dõi: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
