Cảnh báo virus mới rút tiền từ ví crypto qua GitHub
1. Một loại virus mới đang rồ rà rút sạch ví tiền điện tử
Vào cuối tháng 6/2025, nhóm an ninh mạng SlowMist phát hiện một mã độc mới nguy hiểm đang lan truyền qua GitHub, ân mình trong các thư viện giả mạo. Loại virus này được đặt tên crypto-layout-utils và đã khiến nhiều người dùng bị đánh cắp tài sản trong ví crypto.
Theo SlowMist, mã độc này được nhúng vào trong các dự án mã nguồn mở với các chức năng giả dàng như xử lý giao diện, nhưng ẩn chứa công cụ scan dữ liệu ví, private key, và gửi về server của hacker.
2. Virus crypto tấn công như thế nào?
Cách thức hoạt động:
• Lập lờ danh nghĩa thư viện UI: Gói crypto-layout-utils giả dạng một công cụ sắp xếp giao diện Web3
• Cài vào project qua npm install: Khi người dùng tải về package này từ GitHub hoặc npm, mã độc sẽ được kickstart
• Scan toàn bộ file hệ thống: Tìm ví crypto (MetaMask, Coinbase, TrustWallet...)
• Gửi thông tin private key về server hacker
Mục tiên phạt hiện ban đầu rất thấp do code đã được "minify" và trá hình tinh vi.
3. Các ví crypto bị nhằm tới
Theo Kaspersky và SlowMist, các loại ví sau đã bị nhấm tới nhiều nhất: MetaMask, Trust Wallet, Coinbase Wallet, OKX Wallet, Rainbow, Phantom
Trong nhiều trường hợp, người dùng không hề hay biết rằng mình đã bị truy cập tài sản.
4. Ai dễ bị tấn công nhất?
• Dev Web3 tải package trên GitHub/NPM không kiểm tra
• Người mới làm dApp, đang test wallet
• Người dùng download công cụ UI Web3 "free"
Kẻ xấu nhầm vào sự chủ quan của người lập trình hoặc người mới dùng.
4. Cách phòng tránh virus crypto
• KHÔNG bao giờ chia sẻ private key/dây khôi phục
• KHÔNG cài bất kỳ package lạ qua đính danh
• Kiểm tra file đã "minify" hoặc nghi ngờ
• Dùng ví tách biệt khi test contract
• Luôn cập nhật công cụ an toàn (như Slither, Hardhat, Mythril...)
Kết luận
Virus crypto đang trở nên nguy hiểm hơn bao giờ hết do khai thác vào niềm tin trong công đồng mã nguồn mở. Việc bạn vô tình cài đặt một package "miễn phí" nhưng đồng nghĩa với việc trao private key cho hacker.