Các nhà phát triển blockchain đang bị tấn công: Chiến dịch phần mềm độc hại do AI tạo ra của nhóm KONNI Bắc Triều Tiên. Các cuộc tấn công này nhắm vào các nhà phát triển blockchain và các hệ thống liên quan, sử dụng phần mềm độc hại do AI sinh ra để xâm nhập và kiểm soát hệ thống. Nhóm KONNI, một nhóm hacker có liên hệ với chính phủ Bắc Triều Tiên, đã triển khai các chiến dịch tinh vi nhằm khai thác lỗ hổng trong các nền tảng blockchain và các ứng dụng liên quan. Các chuyên gia an ninh mạng cảnh báo về sự gia tăng của các cuộc tấn công này, đặc biệt là các phần mềm độc hại được tạo ra tự động, khó phát hiện và ngăn chặn hơn. Người dùng và nhà phát triển cần nâng cao cảnh giác, cập nhật phần mềm bảo mật và theo dõi sát sao các hoạt động bất thường để bảo vệ hệ thống của mình khỏi các mối đe dọa ngày càng tinh vi này.

Các nhà phát triển tiền điện tử và blockchain trên khắp Nhật Bản, Úc và Ấn Độ đang đối mặt với mối đe dọa mạng ngày càng gia tăng. Nhóm APT KONNI liên kết với Triều Tiên đã bắt đầu một chiến dịch phức tạp phân phối phần mềm độc hại do AI tạo ra, được thiết kế đặc biệt để xâm phạm hệ thống của các nhà phát triển. Các chuyên gia an ninh hiện đang cảnh báo về chiến dịch đe dọa phối hợp này, sử dụng các công nghệ tiên tiến để nhắm vào lĩnh vực tài sản kỹ thuật số.

Các hoạt động phần mềm độc hại nhắm mục tiêu của KONNI APT

KONNI, một nhóm hacker do nhà nước tài trợ có trụ sở tại Triều Tiên, đã nâng cao hoạt động của mình bằng cách triển khai phần mềm độc hại được thiết kế với khả năng trí tuệ nhân tạo. Khác với các cửa hậu truyền thống, các công cụ do AI tạo ra này thể hiện hành vi thích nghi và kỹ thuật tránh né tinh vi. Phần mềm độc hại dạng cửa hậu, đặc biệt viết bằng PowerShell, cho phép kẻ tấn công thiết lập quyền truy cập liên tục vào hệ thống bị xâm phạm và trích xuất dữ liệu nhạy cảm từ môi trường phát triển.

Việc nhắm mục tiêu các nhà phát triển blockchain thể hiện một sự thay đổi đáng kể trong chiến thuật của nhóm. Bằng cách tập trung vào các chuyên gia tiền điện tử, KONNI nhằm xâm nhập vào quy trình phát triển, có thể làm tổn hại các dự án blockchain ở cấp hạ tầng cốt lõi. Điều này tạo ra một mối đe dọa nâng cao đối với an ninh của hệ sinh thái crypto.

Phân phối qua Discord: Kênh lây nhiễm

Cơ chế lây nhiễm dựa trên một chiến lược phân phối đơn giản nhưng hiệu quả. KONNI tận dụng Discord — nền tảng giao tiếp phổ biến được cộng đồng công nghệ ưa chuộng — để lưu trữ các tệp lưu trữ độc hại và kho mã nguồn. Các nhà phát triển không cảnh giác, nghĩ rằng họ đang tải xuống các công cụ hoặc thư viện hợp pháp, thay vào đó nhận các gói phần mềm độc hại đã được chế tạo vũ khí.

Quá trình lây nhiễm diễn ra qua các chiến thuật xã hội kỹ thuật phù hợp để gây ảnh hưởng đến các nhà phát triển blockchain. Bằng cách ngụy trang phần mềm độc hại trong các bối cảnh phát triển quen thuộc và các nền tảng đáng tin cậy, KONNI tăng khả năng thành công trong việc xâm nhập. Khi thực thi, cửa hậu dựa trên PowerShell thiết lập các kênh điều khiển và kiểm soát, cho phép kẻ tấn công thực thi từ xa.

Check Point Research tiết lộ chi tiết chiến dịch

Vào ngày 21 tháng 1 năm 2026, Check Point Research đã phát hành một phân tích toàn diện ghi lại phạm vi, các đặc điểm kỹ thuật và các tác động đe dọa của chiến dịch phần mềm độc hại này. Báo cáo của công ty an ninh cung cấp những hiểu biết quan trọng về phương pháp hoạt động của KONNI, bao gồm cấu trúc payload, cơ chế phân phối và các hoạt động sau khi nhiễm.

Các phát hiện của Check Point cho thấy đây là một chiến dịch phối hợp, có nguồn lực mạnh mẽ chứ không phải các cuộc tấn công mang tính cơ hội. Việc sử dụng các thành phần phần mềm độc hại do AI tạo ra cho thấy đầu tư kỹ thuật đáng kể và khả năng phát triển tinh vi. Các chuyên gia an ninh trong ngành blockchain được khuyên nên xem xét toàn bộ báo cáo và thực hiện các biện pháp bảo vệ điểm cuối bổ sung.

Mối đe dọa này nhấn mạnh lý do tại sao các nhà phát triển cần duy trì cảnh giác cao đối với nguồn phần mềm và áp dụng các thực hành an ninh vững chắc để phòng chống các mối đe dọa phần mềm độc hại tinh vi nhằm vào tổ chức của họ.