TechFlow đưa tin, ngày 24 tháng 4, theo báo cáo nghiên cứu của công ty an ninh mạng Expel, tổ chức APT được đánh giá cao là có sự hậu thuẫn của Nhà nước Triều Tiên (DPRK), mang tên “HexagonalRodent”, đang bị theo dõi sát sao. Tổ chức này chủ yếu nhắm vào các nhà phát triển Web3 nhằm đánh cắp tiền mã hóa và NFT—các tài sản kỹ thuật số có giá trị cao. Trong ba tháng đầu năm 2026, tổ chức này đã chiếm quyền truy cập vào 26.584 ví tiền mã hóa từ 2.726 thiết bị của các nhà phát triển bị nhiễm mã độc, với tổng giá trị tài sản bị đánh cắp lên tới 12 triệu USD.
Tổ chức này chủ yếu tiến hành tấn công thông qua việc giả mạo thông tin tuyển dụng—đăng các vị trí công việc lương cao trên LinkedIn và các nền tảng tuyển dụng Web3 nhằm dụ dỗ ứng tuyển viên hoàn thành “bài kiểm tra kỹ năng” tích hợp mã độc. Khi nạn nhân mở thư mục dự án, phần mềm độc hại sẽ tự động thực thi thông qua tính năng tasks.json của VSCode. Các phần mềm độc hại được sử dụng bao gồm BeaverTail, OtterCookie và InvisibleFerret, sở hữu các khả năng như đánh cắp mật khẩu, điều khiển từ xa và thiết lập reverse shell.
Đáng chú ý, tổ chức này đã tận dụng rộng rãi các công cụ AI tạo sinh như ChatGPT và Cursor để phát triển phần mềm độc hại, xây dựng các trang web doanh nghiệp giả mạo cũng như tạo ra đội ngũ lãnh đạo do AI sinh ra; thậm chí còn đăng ký một công ty vỏ bọc tại Mexico nhằm gia tăng độ tin cậy cho các chiến dịch tấn công. Ngoài ra, gần đây tổ chức này lần đầu tiên thực hiện thành công một cuộc tấn công chuỗi cung ứng bằng cách xâm nhập vào tiện ích mở rộng VSCode mang tên “fast-draft” để phân phối phần mềm độc hại.
