Nơi nguy hiểm nhất trong crypto hiện tại không phải là một giao thức DeFi hay một sàn giao dịch tập trung. Đó là một cuộc phỏng vấn xin việc.
Nhóm Lazarus của Bắc Triều Tiên đã hoàn toàn tiến hóa chiến lược tấn công của mình và phương pháp mới thực sự đáng lo ngại vì sự đơn giản và hiệu quả của nó. Các nhà nghiên cứu tại OpenSourceMalware đã xác nhận vào ngày 6 tháng 5 rằng Lazarus hiện đang ẩn các loader malware giai đoạn hai trực tiếp bên trong Git Hooks — cụ thể là trong các script pre-commit của các kho mà các nhà phát triển được yêu cầu clone như một phần của các cuộc phỏng vấn xin việc giả mạo.
Đây là cách cuộc tấn công diễn ra. Một nhà phát triển được tiếp cận trên LinkedIn hoặc một nền tảng việc làm bởi một người tuyển dụng có vẻ hợp pháp từ một công ty crypto hoặc DeFi. Nhà phát triển được mời hoàn thành một bài kiểm tra kỹ thuật. Họ clone một kho lưu trữ. Ngay khi họ thực hiện một lệnh git thông thường — một việc tiêu chuẩn như git merge hoặc git pull — một script pre-commit hoạt động lén lút ở phía sau. Script đó lấy BeaverTail, một infostealer JavaScript được xây dựng bởi Lazarus. BeaverTail sau đó cài đặt InvisibleFerret, một backdoor Python cho phép kẻ tấn công truy cập từ xa liên tục vào toàn bộ máy. Không có tệp nhị phân đáng ngờ. Không có thông báo cài đặt. Không có cảnh báo. Máy đã bị xâm nhập hoàn toàn trước khi nhà phát triển hoàn thành bài kiểm tra.
Đây không phải là một nhóm mới tìm kiếm chỗ đứng. Đây là một chiến dịch do nhà nước tài trợ đã đánh cắp hơn năm tỷ đô la trong cryptocurrency từ năm 2021 đến 2025. Vào tháng 2 năm 2025, họ đã đánh cắp 1.5 tỷ đô la từ Bybit trong một cuộc tấn công — vụ trộm crypto lớn nhất trong lịch sử. Vào tháng 4 năm 2026, chỉ ba tuần trước, họ đã bị liên kết với vụ khai thác KelpDAO trị giá 290 triệu đô la. Mỹ, Nhật Bản và Hàn Quốc đã xác nhận rằng Lazarus đã đánh cắp 660 triệu đô la trong crypto chỉ riêng năm 2024. Bắc Triều Tiên sử dụng mọi đồng đô la để tài trợ cho chương trình vũ khí hạt nhân của mình.
Chiến dịch Mach-O Man tháng 4 năm 2026 cho thấy họ cũng đang nhắm đến các giám đốc điều hành tại các công ty crypto và fintech thông qua các cuộc họp trực tuyến giả mạo trên macOS. Chiến dịch GitHub C2 được phát hiện vào tháng 4 sử dụng chính GitHub làm máy chủ chỉ huy và kiểm soát — điều hướng lưu lượng độc hại qua một trong những nền tảng đáng tin cậy nhất trên internet để các tường lửa không bao giờ phát hiện.
Các nhà nghiên cứu có một khuyến nghị rõ ràng. Không bao giờ clone một kho lưu trữ mà bạn nhận được qua một đề nghị việc làm hoặc quy trình tuyển dụng mà không chạy nó trong một môi trường hoàn toàn cách ly. Giữ các khóa SSH, thông tin xác thực trình duyệt và cụm từ hạt giống ví crypto của bạn trên một máy không bao giờ chạm vào mã không mong muốn. Nếu một người tuyển dụng gửi cho bạn một repo để kiểm tra, hãy coi đó như một vũ khí đã nạp cho đến khi được chứng minh ngược lại.
Thị trường việc làm trong crypto là có thật. Những người săn lùng trong đó cũng vậy.
Giữ tinh thần cảnh giác.
$BTC $ETH $BNB #CryptoSecurity #LazarusGroup #HackerAlert #Web3Security #dyor
