Tsundere là một mạng botnet mới xuất hiện, được Kaspersky phát hiện vào khoảng giữa năm 2025. So sánh mối đe dọa này với các phân tích trước đó của hãng bảo mật này từ tháng 10/2024 cho thấy sự tương đồng về mã, cũng như việc sử dụng cùng một phương pháp truy xuất máy chủ điều khiển và ra lệnh (C2) cũng như ví điện tử. Trong trường hợp đó, tin tặc đã tạo các gói Node.js độc hại và sử dụng npm để phân phối payload. Các gói được đặt tên tương tự như các gói phổ biến và sử dụng kỹ thuật typosquatting. Những kẻ tấn công nhắm mục tiêu vào các thư viện như Puppeteer, Bignum.js và nhiều gói tiền điện tử khác nhau, dẫn đến việc phát hiện 287 gói phần mềm độc hại. Cuộc tấn công chuỗi cung ứng này ảnh hưởng đến người dùng Windows, Linux và macOS, nhưng nó không tồn tại lâu vì các gói đã bị xóa và tác nhân đe dọa đã từ bỏ phương pháp lây nhiễm này sau khi bị phát hiện. Dựa trên báo cáo của Kaspersky, bài viết này sẽ cùng khám phá về mạng botnet mới nổi này.

Hiện nay, ngày càng có nhiều nhà phát triển phần mềm độc hại sử dụng kết hợp đa ngôn ngữ lập trình để vượt qua các hệ thống bảo mật phát hiện nâng cao. Trong đó, phần mềm độc hại Node.js Lu0Bot là minh chứng nổi bật cho xu hướng này. Bằng cách nhắm mục tiêu vào môi trường runtime - thường được sử dụng trong các ứng dụng web hiện đại và sử dụng tính năng che giấu nhiều lớp, Lu0Bot là mối đe dọa nghiêm trọng đối với các tổ chức và cá nhân. Trong phần I của bài viết sẽ khám phá kiến trúc của phần mềm độc hại này.