Tsundere là một mạng botnet mới xuất hiện, được Kaspersky phát hiện vào khoảng giữa năm 2025. So sánh mối đe dọa này với các phân tích trước đó của hãng bảo mật này từ tháng 10/2024 cho thấy sự tương đồng về mã, cũng như việc sử dụng cùng một phương pháp truy xuất máy chủ điều khiển và ra lệnh (C2) cũng như ví điện tử. Trong trường hợp đó, tin tặc đã tạo các gói Node.js độc hại và sử dụng npm để phân phối payload. Các gói được đặt tên tương tự như các gói phổ biến và sử dụng kỹ thuật typosquatting. Những kẻ tấn công nhắm mục tiêu vào các thư viện như Puppeteer, Bignum.js và nhiều gói tiền điện tử khác nhau, dẫn đến việc phát hiện 287 gói phần mềm độc hại. Cuộc tấn công chuỗi cung ứng này ảnh hưởng đến người dùng Windows, Linux và macOS, nhưng nó không tồn tại lâu vì các gói đã bị xóa và tác nhân đe dọa đã từ bỏ phương pháp lây nhiễm này sau khi bị phát hiện. Dựa trên báo cáo của Kaspersky, bài viết này sẽ cùng khám phá về mạng botnet mới nổi này.

Ngày 13/10, báo cáo của công ty an ninh mạng Proofpoint cho biết, một tác nhân đe dọa chưa từng được ghi nhận trước đây có tên là TA585, được phát hiện đang phát tán phần mềm độc hại MonsterV2 thông qua các chiến dịch lừa đảo.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch tấn công mạng mới nhắm vào các trang web WordPress, bằng cách ngụy trang phần mềm độc hại thành một plugin bảo mật.

Các nhà nghiên cứu của công ty phần mềm an ninh mạng và diệt virus Bitdefender (Romania) đã tìm hiểu về nhóm tin tặc Lazarus có liên quan đến Triều Tiên, hiện đang sử dụng một hình thức tấn công mới thông qua các lời mời làm việc giả mạo trên LinkedIn trong lĩnh vực tiền điện tử và du lịch để phát tán phần mềm đánh cắp JavaScript đa nền tảng nhắm vào các ví tiền điện tử.

Những kẻ tấn công từ Triều Tiên đứng sau chiến dịch tấn công Contagious Interview đang diễn ra đã bị phát hiện đang phát tán một phần mềm độc hại JavaScript mới có tên là OtterCookie.

Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.

Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.

Mới đây, một trong những trang web có số lượng truy cập lớn nhất hiện nay - sàn giao dịch tiền điện tử phổ biến Gate.io, đang bị tội phạm lợi dụng nhằm mục đích đánh cắp Bitcoin. Sàn giao dịch này được cho là mục tiêu chính của cuộc tấn công.

Một lỗ hổng nghiêm trọng trong tiện ích mở rộng trên trình duyệt Chrome và Firefox của phần mềm kiểm tra ngữ pháp Grammarly có thể khiến 22 triệu tài khoản người dùng, bao gồm tài liệu và bản ghi cá nhân bị tin tặc đánh cắp từ xa.

CRIME (Compression Ratio Info-Leak Made Easy hay Compression Ratio Info-Leak Mass Exploitation) tấn công lên bộ giao thức SSL/TLS được phát triển và công bố bởi hai nhà nghiên cứu Julliano Rizzo và Dương Ngọc Thái. CRIME là kiểu tấn công kênh kề sử dụng để khôi phục khóa phiên (token) của một phiên liên lạc hoặc thông tin bí mật khác dựa trên kích thước nén của các yêu cầu HTTP (HTTP request). Đây là kỹ thuật khai thác các phiên liên lạc web được bảo vệ bởi bộ giao thức SSL/TLS sử dụng một trong hai phương pháp nén dữ liệu (DEFLATE và gzip) nhằm làm giảm hiện tượng tắc nghẽn mạng hoặc thời gian tải của trang web.