- Bybit SOC vừa công bố chiến dịch malware đa tầng dùng SEO poisoning + Google Ads để đánh lừa developer tải Claude Code giả, đánh cắp Keychain, Telegram session và 250+ ví crypto trên macOS.
- Đây là cảnh báo đầu tiên từ một sàn CEX về mối đe dọa mới: AI tool discovery trở thành mặt phẳng tấn công.
TL;DR
- Bybit Security Operations Center phát hiện chiến dịch malware macOS nhắm vào developer tìm kiếm Claude Code — công cụ coding AI của Anthropic.
- Attacker dùng SEO poisoning + Google Ads đưa domain giả lên top Google, dụ nạn nhân tải installer chứa mã độc.
- Payload 2 tầng: Mach-O dropper chạy infostealer kiểu AMOS/Banshee + C++ backdoor có sandbox detection và C2 qua HTTP polling.
- Nhắm 250+ ví trình duyệt, trojan hoá Ledger Live & Trezor Suite, hút Keychain, Telegram session, VPN profile.
- Phát hiện 12/03/2026, công bố 20/03/2026. Bitdefender Labs báo cáo song song với IOC chi tiết.
Chuyện gì mới
Ngày 21/04/2026, đội Security Operations Center (SOC) của Bybit công khai kết quả điều tra một chiến dịch malware đa tầng nhắm vào người dùng macOS tìm kiếm từ khoá "Claude Code" — công cụ coding AI rất hot của Anthropic. Đây là một trong những disclosure đầu tiên từ một sàn giao dịch tập trung (CEX) về hoạt động tấn công nhắm vào developer thông qua kênh khám phá công cụ AI.
Kẻ tấn công mua Google Ads và dùng SEO poisoning đẩy domain giả lên vị trí cao nhất khi search "download claude code" hay "claude code install". Victim click vào, landing tại một trang tài liệu giả được host trên subdomain Squarespace (claude-code-cmd.squarespace[.]com) — mô phỏng gần như giống hệt trang docs chính thức của Anthropic — rồi được dẫn tới trang tải installer.
Chain attack: hai tầng, một mục tiêu
Chuỗi lây nhiễm gồm 2 giai đoạn:
- Stage 1 — Mach-O dropper: chạy một
osascript-based infostealer, obfuscation nhiều pha, đặc trưng giống họ AMOS và Banshee đã quen mặt trên macOS. Nhiệm vụ: hút dữ liệu nhanh nhất có thể. - Stage 2 — C++ backdoor: có sandbox detection, runtime config mã hoá, persistence qua LaunchAgents cấp hệ thống, và C2 qua HTTP polling ngắt quãng để tránh bị phát hiện traffic.
Phiên bản Windows song song (theo Bitdefender Labs) lạm dụng mshta.exe để nạp HTA payload từ download.active-version[.]com/claude. Trên macOS, payload là lệnh curl Base64-obfuscated được pipe vào zsh, kéo về Mach-O backdoor cho phép attacker mở remote shell và chạy lệnh tuỳ ý.
Technical facts
| Thành phần | Chi tiết |
|---|---|
| Stage 1 payload | Mach-O dropper + osascript infostealer (AMOS/Banshee-class) |
| Stage 2 payload | C++ backdoor, HTTP polling C2, LaunchAgent persistence |
| Ví trình duyệt bị nhắm | 250+ extension (MetaMask, Phantom, Rabby, v.v.) |
| App ví bị trojan hoá | Ledger Live, Trezor Suite |
| Dữ liệu đánh cắp | Keychain, credential Chromium/Firefox/Safari, Telegram session, VPN profile, Apple Notes |
| Infra giả | claude-code-cmd.squarespace[.]com, download.active-version[.]com, wriconsult[.]com/n8n/update |
| Detection (Win) | Trojan.Stealer.GJ/GK, IL:Trojan.MSILZilla.245316, Gen:Variant.Barys.509034 |
Một số hash mẫu (SHA-256) do Bitdefender công bố:
79cd21185c51a5bfe2cfebdc51e14b258d91549fc0e4e09b6939c2a8a1c5ac19
3b4d3a59024f14cf1f07395afd6957be05d125e00ae8fdcea3a5dee1d8ab9dd3
eb4d9a0e4c483dc29ae8c4d31fafcd583c457923d3344745b5c7ab13abed4dc5Vì sao quan trọng
Ba điểm khiến chiến dịch này đáng chú ý hơn một vụ stealer thông thường:
- Mặt phẳng tấn công mới: AI tool discovery (search "Claude Code", "Cursor", "ChatGPT desktop") đang trở thành phishing surface chính cho developer trong 2026.
- Host trên hạ tầng hợp pháp: dùng subdomain Squarespace vượt qua nhiều URL-reputation filter — các công cụ chặn thường whitelist Squarespace.
- Trojan hoá hardware wallet companion app: không chỉ hút hot wallet — attacker thay thế Ledger Live/Trezor Suite bằng bản giả, có thể can thiệp vào quá trình ký giao dịch ngay cả khi bạn nghĩ hardware wallet là bất khả xâm phạm.
"What used to require analysts across shifts was completed in a single session with AI handling heavy lifting. Using AI to defend against AI is an inevitable trend." — David Zong, Head of Group Risk Control, Bybit
Ai bị ảnh hưởng
- Developer macOS đã từng search Google "claude code download" và tải installer từ kết quả không phải docs chính chủ kể từ tháng 3/2026.
- Crypto holder dùng ví extension trên cùng máy lập trình — bề mặt tấn công rộng nhất (250+ extension bị nhắm).
- Hardware wallet user chạy Ledger Live hoặc Trezor Suite trên macOS — rủi ro bị tráo ứng dụng.
- Power user Telegram — session bị đánh cắp cho phép chiếm tài khoản mà không cần prompt 2FA lại.
Cách kiểm tra & bảo vệ
- Chỉ cài Claude Code từ nguồn chính thức:
npm install -g @anthropic-ai/claude-codehoặc trang docs.anthropic.com. Không bao giờ tải installer cho một CLI từ Google Ads. - Verify Developer ID của mọi app đã cài gần đây:
codesign -dv --verbose=4 /Applications/<app>.app. - Không tắt Gatekeeper để chạy "installer" cho dev tool — dev tool thật gần như luôn có signature hợp lệ hoặc chạy qua Homebrew/npm.
- Nếu nghi ngờ đã dính: rotate toàn bộ credential Keychain, trình duyệt, Telegram session, VPN profile, và chuyển ví crypto sang ví mới trên thiết bị sạch.
- Tách biệt máy dev và máy giữ ví: máy có hardware wallet companion app không nên là máy search Google cho dev tool.
Điều gì tiếp theo
Google đã vô hiệu hoá tài khoản advertiser (liên quan tới một công ty Malaysia có thật — nhiều khả năng bị chiếm tài khoản). Squarespace flag subdomain giả. Nhưng Bybit và Bitdefender đều cảnh báo attacker sẽ xoay domain mới và mở rộng sang các công cụ AI khác (Cursor, Windsurf, Devin, v.v.) trong Q2/2026.
Anthropic tới thời điểm này chưa ra advisory chính thức trên status page. Trong khi chờ, quy tắc an toàn là: AI tool mới = phishing surface mới. Đừng Google tên công cụ rồi click top result — luôn gõ thẳng URL docs hoặc cài qua package manager.
Nguồn: Bybit / PRNewswire, Bitdefender Labs, CoinDesk.