Bẻ khóa phiên bản CLI của Bitwarden, bắt giữ các nhóm thu giữ "đen" tại Kyiv và các sự kiện an ninh mạng khác - ForkLog: tiền điện tử, AI, siêu việt, tương lai

# Lỗ hổng CLI của Bitwarden, bắt giữ các nhóm thu giữ “đen” tại Kyiv và các sự kiện an ninh mạng khác

Chúng tôi đã tổng hợp những tin tức quan trọng nhất từ thế giới an ninh mạng trong tuần.

• Hacker Bắc Triều Tiên đã trộm khoảng $12 triệu USD tiền điện tử trong ba tháng bằng các công cụ AI.
• Một cựu nhà đàm phán với nhóm tống tiền đã trở thành đồng phạm.
• Tình báo Anh: 100 chính phủ các nước có quyền truy cập phần mềm gián điệp thương mại.
• Một trình quản lý mật khẩu dành cho nhà phát triển Bitwarden đã được tích hợp công cụ phân tích thông tin.

Hacker Bắc Triều Tiên đã trộm khoảng $12 triệu USD tiền điện tử trong ba tháng bằng các công cụ AI

Trong vòng ba tháng, nhóm hacker Bắc Triều Tiên HexagonalRodent đã trộm khoảng $12 triệu USD tiền điện tử và đã nhiễm hơn 2000 máy tính của các nhà phát triển Web3 nhằm lấy cắp dữ liệu đăng nhập và quyền truy cập vào ví tiền điện tử. Điều này được chuyên gia an ninh mạng Expel Marcus Hutchins thông báo.

Cuộc tấn công dựa trên phương pháp mã hóa Vibe — tạo ra phần mềm độc hại và hạ tầng qua các yêu cầu văn bản tới mạng neural:

• bằng các công cụ AI thiết kế web của Anima, hacker tạo ra các trang web cho các công ty CNTT không tồn tại;
• dụ các nạn nhân bằng các vị trí giả mạo và yêu cầu thực hiện “bài kiểm tra”, chứa mã độc;
• toàn bộ mã và trao đổi trên tiếng Anh hoàn hảo đều được tạo ra bằng ChatGPT và Cursor.

Mảnh mã hacker. Nguồn: Expel Chuyên gia đã phân tích hạ tầng của hacker, mà họ vô tình để lộ. Các prompt và cơ sở dữ liệu ví của nạn nhân đã bị rò rỉ ra ngoài. Hutchins nhận xét rằng mã viết ra có nhiều bình luận bằng tiếng Anh và emoji — rõ ràng là phần mềm hoàn toàn do LLM tạo ra.

Theo Hutchins, vào năm 2026, Bình Nhưỡng đã có bước nhảy vọt về chất, sử dụng AI để tự động hóa từng giai đoạn của các cuộc tấn công mạng, biến các operator kém kỹ năng thành mối đe dọa mạng quy mô lớn.

Hoạt động của HexagonalRodent chỉ là một phần trong chiến lược toàn cầu của CHDCND Triều Tiên về tự động hóa tội phạm, như các báo cáo của các tập đoàn công nghệ khác xác nhận:

• Microsoft cho biết, các hacker Bắc Triều Tiên sử dụng AI để tạo ra các tài liệu giả, nghiên cứu lỗ hổng và kỹ thuật xã hội;
• Anthropic tuyên bố đã chặn các nỗ lực của các tác nhân CHDCND Triều Tiên sử dụng mô hình Claude để chỉnh sửa virus.

Trong các bình luận của WIRED, đại diện của OpenAI, Cursor và Anima xác nhận các hành vi lạm dụng dịch vụ của họ. Theo họ, các tài khoản liên quan đến hacker đã bị khóa, cuộc điều tra sẽ giúp hiểu cách ngăn chặn các sự cố tương tự.

Một cựu nhà đàm phán với nhóm tống tiền đã trở thành đồng phạm

Angelo Martino, từng đàm phán với nhóm tống tiền tại công ty an ninh mạng DigitalMint, đã nhận tội giúp đỡ tội phạm mạng. Thông tin này được Bộ Tư pháp Mỹ công bố.

Martino thừa nhận đã “đứng về hai phía” trong năm vụ việc khác nhau. Chính thức làm việc cho các nạn nhân, ông đã chuyển dữ liệu nhạy cảm cho các operator của phần mềm độc hại ALPHV/BlackCat, cũng như cung cấp cho hacker các dữ liệu như giới hạn bảo hiểm của nạn nhân và chiến lược đàm phán.

Cơ quan điều tra xác định rằng Martino đã tối đa hóa khoản thanh toán cho tội phạm, từ đó lấy phần của mình.

Nhóm ALPHV/BlackCat hoạt động theo mô hình CaaS, trong đó băng nhóm tạo và duy trì phần mềm mã hóa tệp, còn các “đối tác” sử dụng trong các cuộc tấn công và trả phần lợi nhuận cho nhà phát triển.

Năm 2023, các nhà chức trách đã chiếm quyền trang web của hacker trên dark web và phát hành phần mềm giải mã giúp hơn 500 nạn nhân khôi phục hệ thống.

Năm 2025, nhóm tội phạm này còn nhận sự giúp đỡ từ các nhân viên khác của DigitalMint — Kevin Tyler Martin và Ryan Clifford Goldberg. Cùng với Martino, họ đã kiếm hơn 1,2 triệu USD chỉ từ một nạn nhân.

Martino nhận tội tống tiền, có thể bị phạt tù tới 20 năm. Chính quyền đã tịch thu tài sản trị giá $10 triệu USD của ông.

Tình báo Anh: 100 chính phủ các nước có quyền truy cập phần mềm gián điệp thương mại

Theo dữ liệu của tình báo Anh, hơn một nửa chính phủ các nước có quyền truy cập phần mềm có khả năng xâm nhập thiết bị để lấy cắp thông tin mật. Thông tin này được Politico đưa tin.

Các phương tiện truyền thông cho biết, rào cản để tiếp cận các công nghệ giám sát loại này đã giảm. Đồng thời, số quốc gia có khả năng sở hữu các công cụ hack tương tự đã tăng lên, hiện là 100, so với 80 như năm 2023.

Phần mềm gián điệp thương mại do các công ty tư nhân như NSO Group phát triển, như Pegasus, thường dựa trên khai thác lỗ hổng trong phần mềm điện thoại và máy tính. Mặc dù chính phủ khẳng định các công cụ này chỉ dùng để nhắm vào các đối tượng bị tình nghi phạm tội đặc biệt nguy hiểm, bao gồm khủng bố.

Theo tình báo Anh, trong những năm gần đây, “đối tượng” bị nhắm tới đã mở rộng từ các nhà phê bình chính trị, đối lập, nhà báo sang các ngân hàng và doanh nhân giàu có.

Tại Mỹ, ICE đang tích cực sử dụng phần mềm Israel Graphite. Giám đốc tạm thời của cơ quan Todd Lyons xác nhận thông tin này với NPR.

Theo ông, các cơ quan thực thi pháp luật dùng phần mềm để chống lại các tổ chức khủng bố nước ngoài và buôn bán fentanyl, sử dụng các ứng dụng nhắn tin mã hóa. Phần mềm cho phép truy cập tin nhắn trên điện thoại mà không cần nhấp vào liên kết (zero-click).

Trình quản lý mật khẩu dành cho nhà phát triển Bitwarden đã tích hợp công cụ phân tích thông tin

Vào ngày 22 tháng 4 năm 2026, gói npm chính thức của giao diện dòng lệnh (CLI) của trình quản lý mật khẩu Bitwarden phiên bản 2026.4.0 đã bị xâm nhập. Trong kho chứa có phiên bản chứa mã độc để lấy cắp dữ liệu đăng nhập của các nhà phát triển.

Nhiều công ty trong lĩnh vực an ninh mạng đã phân tích chuỗi lây nhiễm và đưa ra đánh giá về sự cố:

• các chuyên gia của JFrog phát hiện gói này dùng trình tải tùy chỉnh bw_setup.js để chạy ngầm một script gián điệp. Virus thu thập token npm và GitHub, SSH keys, cũng như quyền truy cập AWS, Azure và Google Cloud;
• trong OX Security, phát hiện dữ liệu bị đánh cắp đã được tải lên bằng cách tự động tạo các kho công khai trên GitHub của nạn nhân. Các kho này được gắn nhãn dòng Shai-Hulud: The Third Coming, và virus còn có khả năng tự lây lan;
• Socket xác nhận mục tiêu của virus là hạ tầng CI/CD. Họ cũng liên hệ kỹ thuật của sự cố này với vụ xâm nhập chuỗi cung ứng gần đây của công ty Checkmarx.

Cuộc tấn công được cho là do nhóm hacker TeamPCP thực hiện, nhóm này đã từng tiến hành các chiến dịch quy mô lớn chống lại các dự án Trivy và LiteLLM. Các chuyên gia khuyến nghị các nhà phát triển nên ngay lập tức đổi tất cả khóa và token nếu họ đã tương tác với CLI bị ảnh hưởng.

Công ty Bitwarden đã nhanh chóng xóa phiên bản bị nhiễm chỉ trong một giờ rưỡi sau khi phát hiện và xác nhận rằng các kho dữ liệu và mật khẩu của người dùng vẫn an toàn.

Apple vá lỗi cho phép FBI đọc tin nhắn Signal đã xóa

Apple đã phát hành bản vá và hướng dẫn an ninh sau khi FBI truy cập nội dung thông báo của ứng dụng Signal qua iOS, mặc dù ứng dụng đã bị xóa.

Chúng tôi rất vui khi ngày hôm nay Apple đã phát hành bản vá và cảnh báo an ninh. Điều này sau khi @404mediaco báo cáo rằng FBI đã truy cập nội dung thông báo tin nhắn Signal qua iOS mặc dù ứng dụng đã bị xóa.

Thông báo của Apple xác nhận rằng các lỗi đã cho phép việc này…

— Signal (@signalapp) ngày 22 tháng 4 năm 2026

Trong Signal cho biết, sau khi cài đặt bản cập nhật, tất cả các thông báo không chủ ý lưu trữ sẽ bị xóa, và các thông báo mới sẽ không được lưu trữ nữa.

Băng nhóm thu giữ tiền điện tử tại Kyiv bị bắt giữ, tống tiền qua botnet

Tại Kyiv, các cơ quan thực thi pháp luật đã bắt giữ các đối tượng lừa đảo sử dụng các nền tảng Bitcapital và Crypsee để cho vay tiền điện tử. Những người nợ và người thân của họ bị quấy rối bằng nội dung xúc phạm do các botnet tạo ra và một hệ thống bot gồm 6000 SIM, theo Cơ quan An ninh Mạng Ukraine.

Theo điều tra, các thành viên nhóm đã tổ chức một trung tâm cuộc gọi tại Dnipro, hoạt động từ năm 2023 dưới vỏ bọc các công ty đăng ký tại Anh và Síp.

Các operator gọi điện cho các nạn nhân và, dùng dữ liệu giả và phần mềm thay đổi giọng nói, yêu cầu hoàn trả tiền. Nếu khách hàng trả đúng hạn, bọn chúng sẽ bịa ra các khoản nợ không có thật. Sau đó, bằng đe dọa và tống tiền, chúng ép buộc nạn nhân phải trả tiền.

Hệ thống bot được dùng để tạo và phát tán nội dung xúc phạm, sử dụng dữ liệu và hình ảnh của nạn nhân, người thân và đồng nghiệp, cũng như để thực hiện các cuộc gọi điện thoại liên tục đe dọa.

Nguồn: Cơ quan An ninh Mạng Ukraine. Đồng thời, một nhóm riêng gồm 2-6 người có thể “làm việc” trên nạn nhân, dùng các phương pháp khác nhau phù hợp với điểm yếu của từng người. Trong trường hợp thành công, mỗi người trong nhóm nhận phần trăm từ số tiền nạn nhân chuyển trả.

Cảnh sát đã tiến hành 44 cuộc khám xét tại Dnipro và Kyiv. Thu giữ hơn 80 điện thoại di động, thiết bị máy tính, tiền mặt, tài liệu, con dấu và hệ thống bot.

Theo ước tính sơ bộ, thiệt hại gây ra đã vượt quá 5 triệu hryvnia (khoảng $113 000 USD theo tỷ giá tại thời điểm viết bài). Các nghi phạm có thể bị phạt tù tới 12 năm.

Ngoài ra trên ForkLog:

• Tether đã khóa USDT trị giá $344 triệu USD theo yêu cầu của Mỹ.
• Tại Anh, đã diễn ra các cuộc đột kích chống lại hoạt động P2P bất hợp pháp của tiền điện tử.
• Các chuyên gia an ninh mạng cảnh báo về làn sóng tấn công mới từ hacker Bắc Triều Tiên.
• Bloomberg đưa tin về việc truy cập trái phép mô hình AI Mythos.
• Hacker tấn công Volo và rút ra 3,5 triệu USD từ các pool WBTC và USDC.
• Các nhà báo tiết lộ về phương thức tống tiền Bitcoin mới qua việc vượt qua eo biển Hormuz.
• Arbitrum đã phong tỏa 30.000 ETH trong cuộc điều tra vụ hack Kelp.
• Eth.limo đã lấy lại quyền kiểm soát tên miền sau vụ tấn công của easyDNS.
• Giao thức Kelp mất $293 triệu USD sau cuộc tấn công cầu nối xuyên chuỗi.

Những gì nên đọc cuối tuần?

Trong thời gian dài, việc sử dụng vũ khí mạng để làm gián điệp được coi là đặc quyền của các cơ quan tình báo. Tuy nhiên, cuộc điều tra của chính quyền Mỹ về Operation Zero đã tiết lộ quy mô buôn bán các lỗ hổng zero-day.

Về thị trường ngầm của các quốc gia và giá trị của các cuộc hack — trong bài viết mới của ForkLog.