Repo GitHub "hack game" giả mạo: Phân tích chiêu trò lừa dev tải malware
Phân tích repo DeltaForce-OBS-Locker trên GitHub trông như tool hack game nhưng thực chất là bẫy malware nhắm vào chính những người tải về.
Nguyễn Nhật Long
@nguyennhatlong1303
Repo GitHub "hack game" giả mạo: Phân tích chiêu trò lừa dev tải malware
Bạn lướt GitHub, thấy một repo có 500+ stars, 500+ forks, README viết chi tiết đẹp mắt, hướng dẫn cài đặt bài bản từ A-Z. Trông legit phết. Nhưng nếu bạn clone về và chạy sudo python main.py như hướng dẫn, xin chúc mừng bạn vừa tự tay cài malware vào máy mình.
Mình vừa đọc kỹ repo DeltaForce-OBS-Locker và muốn chia sẻ với anh em những red flags rõ ràng mà mình nhận ra. Không phải để dạy hack, mà để anh em dev nhận diện được pattern lừa đảo đang ngày càng phổ biến trên GitHub.
Repo này quảng cáo gì?
Nó tự giới thiệu là một "plugin" cho OBS Studio, hỗ trợ chơi game Delta Force bằng cách:
- Tự động nhận diện đầu đối thủ qua YOLO bone detection
- Aimbot mượt, hỗ trợ recoil control
- Bypass anti-cheat
- Cài qua OBS hoặc... QQ Music (?!)
Nghe đã thấy sai sai rồi đúng không? Nhưng mà nhiều người vẫn tải. 500+ stars, 500+ forks con số không nhỏ.
Những red flags mà dev nên nhận ra ngay
Red flag #1: Yêu cầu chạy với sudo / quyền admin
Ngay trong hướng dẫn, repo yêu cầu:
1sudo python main.py
Một script Python "nhận diện hình ảnh" tại sao lại cần quyền root? Theo kinh nghiệm của mình, bất kỳ repo nào yêu cầu sudo mà không giải thích rõ ràng lý do kỹ thuật cụ thể, đó là red flag cấp độ cao nhất.
Repo này có ghi nhỏ rằng nó "tự động xin quyền UAC" tức là nó chủ động escalate privilege. Đây là hành vi điển hình của malware, không phải của một tool image recognition bình thường.
Red flag #2: Cấu trúc code mờ ám
Nhìn vào file structure:
Điều mình thấy đặc biệt nguy hiểm là cái flow: main.py → hiện popup → người dùng bấm "Yes" → chạy Lockhead.exe với quyền admin. Đây đúng là textbook malware dropper. Script Python chỉ là cái vỏ để deliver payload thực sự nằm trong file exe.
| Thư mục/File | Vai trò được quảng cáo | Thực tế đáng ngờ |
|---|---|---|
| `data/crypto.py` | "Lưu chuỗi tiếng Trung dạng Base64" | Tại sao phải encode Base64 nếu chỉ là text hiển thị? Đây là kỹ thuật obfuscation cổ điển để giấu payload |
| `data/bin/Lockhead.exe` | "Installer" | Một file `.exe` nằm trong repo Python bạn không biết nó làm gì bên trong |
| `main.py` | Entry point | Hiển thị popup hỏi Yes/No, chọn Yes thì chạy exe. Đây là dropper pattern |
| `gui.py` | "Giao diện plugin" | Tạo vỏ bọc hợp lệ để người dùng tin tưởng |
| `config.yaml` | Config | Chứa `warning_message` tức là cả thông báo cảnh báo cũng được thiết kế sẵn để social engineer |
Red flag #3: Social engineering cực kỳ tinh vi
Repo này không viết bừa. Nó có chiến lược rõ ràng:
Tạo urgency: "V2.6.0 Cập nhật khẩn cấp vì game đã tăng cường phát hiện." Khiến người dùng cũ vội vàng tải bản mới mà không suy nghĩ.
Tạo trust: 500+ stars, 500+ forks. Con số này rất có thể được inflate bằng bot accounts hoặc mua. Trên GitHub, stars không phải bằng chứng an toàn.
Giảm nghi ngờ: "Không chỉnh sửa game memory, chỉ dùng image recognition" câu này được thiết kế để người dùng nghĩ rằng tool an toàn.
Normalize hành vi nguy hiểm: "Nếu antivirus báo virus, hãy thêm vào whitelist." Đây là red flag khổng lồ. Bất kỳ repo nào bảo bạn tắt antivirus hoặc whitelist file chạy ngay, chạy xa.
Red flag #4: Cài qua QQ Music What?!
Mình đọc đến đoạn "cài qua QQ Music" thì thực sự phải dừng lại. Hướng dẫn bảo bạn:
- Vào thư mục QQ Music
- Thay thế file
lyric_effect.dllbằng file DLL của repo - Mở QQ Music lên, nó sẽ "tự động load"
Đây là DLL hijacking một kỹ thuật tấn công kinh điển. Bạn thay thế một DLL hợp lệ bằng một DLL độc hại, và khi ứng dụng host (QQ Music) khởi động, nó sẽ load DLL của attacker với full permission của process đó. Mà QQ Music chạy khá nhiều quyền trên Windows.
Việc gọi đây là "cách cài thay thế" là cách đóng gói kỹ thuật tấn công thành hướng dẫn thân thiện.
Pattern tổng thể: GitHub như kênh phân phối malware
Đây không phải trường hợp cá biệt. Mình thấy pattern này ngày càng phổ biến:
Theo kinh nghiệm của mình, GitHub không phải nơi an toàn tuyệt đối. Stars không phải seal of approval. Và bất kỳ repo nào ship binary (exe, dll) mà không có build pipeline minh bạch đều đáng nghi.
| Bước | Chiến thuật |
|---|---|
| 1. Tạo repo trông legit | README đẹp, có badges, structure rõ ràng |
| 2. Inflate metrics | Mua/bot stars và forks để tạo social proof |
| 3. Nhắm đúng đối tượng | Game cheaters, tool crack những người sẵn sàng tắt antivirus |
| 4. Dùng ngôn ngữ rào cản | README tiếng Trung hoặc ngôn ngữ khác khiến nhiều người không đọc kỹ |
| 5. Payload ẩn trong binary | File `.exe` hoặc `.dll` đi kèm không ai review được |
| 6. Yêu cầu quyền cao | `sudo`, admin, UAC bypass để malware có full control |
Cách tự bảo vệ mình
Không bao giờ chạy sudo cho script lạ. Đọc code trước. Nếu code bị obfuscate hoặc có Base64 encoded strings, đó là dấu hiệu xấu.
Không whitelist file khi antivirus cảnh báo. Antivirus không hoàn hảo, nhưng khi một repo chủ động bảo bạn tắt nó tin antivirus hơn tin repo.
Check repo history. Repo này có 38 commits nhưng toàn bộ structure trông như được push một lần. Không có development history tự nhiên.
Không clone repo có chứa pre-built binary. Nếu repo ship .exe hoặc .dll mà không có CI/CD build từ source, bạn không biết binary đó chứa gì.
Kiểm tra account chủ repo. ace-trump-tech account mới, không có hoạt động nào khác, không có profile thực. Đây là throwaway account.
Lời cuối thẳng thắn
Mình viết bài này không phải để judge ai tải hack game. Mình viết vì chính dev cũng có thể bị lừa bởi những repo kiểu này đặc biệt khi nó được đóng gói đẹp đẽ với Python code, YOLO model references, và hàng trăm stars.
GitHub đang trở thành một attack vector thực sự. Và vũ khí lớn nhất của chúng ta không phải antivirus mà là thói quen đọc code trước khi chạy, và cái radar nhận biết khi có gì đó "quá tốt để là thật."
Nếu bạn thấy repo tương tự, report nó. Nếu đồng nghiệp share link kiểu này, gửi họ bài viết này. An toàn của cả team quan trọng hơn một vài kills trong game.
Nguyễn Nhật Long
@nguyennhatlong1303Nguyễn Nhật Long is a Senior Frontend Engineer and Frontend Team Leader with 7 years of experience building real-time fintech platforms. Specializing in React, Next.js, TypeScript, and React Native, shipping 10+ products across Web, Mobile, Telegram Mini-Apps, and Web3.
Thấy hay? Chia sẻ cho bạn bè!