เตือนภัยนักพัฒนา! แพ็คเกจ "Nethereum" ปลอมบน NuGet โผล่ขโมยกุญแจคริปโต ใช้ทริค "ตัวอักษรหน้าเหมือน" หลอกตา
นักวิจัยด้านความปลอดภัยไซเบอร์เพิ่งตรวจพบการโจมตีแบบ "Supply Chain Attack" (การโจมตีผ่านห่วงโซ่อุปทานซอฟต์แวร์) ครั้งใหม่ล่าสุด โดยพุ่งเป้าไปที่ NuGet ซึ่งเป็นแหล่งรวมแพ็คเกจ (ไลบรารี) ยอดนิยมของนักพัฒนา .NET
เป้าหมายของแฮกเกอร์คือการปล่อยแพ็คเกจปลอมที่เลียนแบบ "Nethereum" ซึ่งเป็นแพลตฟอร์มยอดนิยมที่นักพัฒนาใช้เชื่อมต่อแอปพลิเคชัน .NET เข้ากับบล็อกเชน Ethereum เพื่อขโมยกุญแจกระเป๋าเงินคริปโต (Cryptocurrency Wallet Keys) ของเหยื่อที่หลงกลดาวน์โหลดไปใช้
ใช้ทริค "ตัวอักษรหน้าเหมือน" (Homoglyph) ที่มองด้วยตาเปล่าไม่เห็น!
แพ็คเกจตัวแสบนี้มีชื่อว่า "Netherеum.All" ครับ
ความร้ายกาจของมันอยู่ตรงไหนรู้ไหมครับ? มันไม่ได้สะกดผิดแบบโจ่งแจ้ง แต่แฮกเกอร์ใช้เทคนิคที่เรียกว่า "Homoglyph Attack" หรือ "การใช้ตัวอักษรที่หน้าตาเหมือนกัน" มาหลอก
โดยในชื่อ "Netherеum.All" ตัว "e" (อี) ตัวสุดท้าย ไม่ใช่ตัว 'e' ในภาษาอังกฤษครับ แต่มันคือตัว 'е' (เย) ในภาษารัสเซีย (Cyrillic U+0435) ซึ่งหน้าตามันเหมือนกันเปี๊ยบ! ทำให้นักพัฒนาที่ไม่ได้สังเกตหรือคัดลอกชื่อไปวาง แยกไม่ออกและดาวน์โหลดตัวปลอมไปใช้งาน
ปั่นยอดโหลดปลอม 11.7 ล้านครั้ง ให้ดูน่าเชื่อถือ
เท่านั้นยังไม่พอ เพื่อความเนียนขั้นสุด แฮกเกอร์ยังทำการ "ปั่นยอดดาวน์โหลด" ปลอมๆ อ้างว่าแพ็คเกจนี้ถูกโหลดไปแล้วถึง 11.7 ล้านครั้ง!
นี่ถือเป็น "ธงแดง" (Red Flag) สัญญาณอันตรายชัดๆ ครับ เพราะเป็นไปไม่ได้เลยที่ไลบรารีใหม่แกะกล่อง (เพิ่งอัปโหลดเมื่อ 16 ต.ค. 2025) จะมียอดโหลดถล่มทลายขนาดนี้ในเวลาเพียงไม่กี่วัน
นักวิจัยเผยว่า แฮกเกอร์สามารถเขียนสคริปต์ให้ดาวน์โหลดแพ็คเกจตัวเองซ้ำๆ วนไป โดยสลับ IP และ User Agent (ตัวตนของเครื่อง) ไปเรื่อยๆ เพื่อหลบการตรวจจับ ผลลัพธ์คือแพ็คเกจที่ดู "ฮิต" และน่าเชื่อถือในสายตานักพัฒนา
มันขโมยอะไรบ้าง?
บริษัทความปลอดภัย Socket ที่เป็นผู้ค้นพบรายงานว่า ภายในแพ็คเกจปลอมนี้มีการซ่อนโค้ดอันตรายไว้ในฟังก์ชันชื่อ EIP70221TransactionService.Shuffle ซึ่งจะแอบถอดรหัสเพื่อเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ควบคุม (C2) ของแฮกเกอร์ (ที่อยู่ solananetworkinstance[.]info/api/gads)
จากนั้น มันจะขโมยข้อมูลลับสุดยอดของกระเป๋าคริปโต ได้แก่:
Mnemonic Phrases (วลีช่วยจำ 12 หรือ 24 คำ สำหรับกู้กระเป๋า)
Private Keys (กุญแจส่วนตัว)
ข้อมูล Keystore
เรียกได้ว่าถ้าโดนไป หมดตัวแน่นอนครับ
NuGet มีช่องโหว่เรื่องการตั้งชื่อ
ข่าวดีคือ แพ็คเกจปลอมนี้ถูกอัปโหลดเมื่อวันที่ 16 ตุลาคม 2025 และถูกทีมงาน NuGet ตรวจพบและถอดออกไปแล้วใน 4 วันต่อมา (20 ต.ค.) แต่แฮกเกอร์กลุ่มนี้ก็เคยลองอัปโหลดตัวปลอมชื่อ "NethereumNet" มาแล้วเมื่อต้นเดือน
ปัญหานี้เกิดขึ้นซ้ำซากเพราะ NuGet มีนโยบายการตั้งชื่อที่หละหลวมกว่าแพลตฟอร์มอื่นครับ ในขณะที่ PyPI (ของ Python) หรือ npm (ของ JavaScript) บังคับให้ใช้แค่ตัวอักษร ASCII (อังกฤษ) เท่านั้น แต่ NuGet ดันอนุญาตให้ใช้ตัวอักษรภาษาอื่นได้ (เช่น รัสเซีย) จึงเปิดช่องให้แฮกเกอร์ใช้ทริค "ตัวอักษรหน้าเหมือน" นี้มาหลอกคนได้ง่ายๆ
ป๋าแหง็มขอเตือน!
สำหรับนักพัฒนาทุกท่าน ก่อนจะติดตั้งแพ็คเกจใดๆ จาก NuGet (หรือที่อื่นๆ) ขอให้:
ตรวจสอบชื่อ อย่างละเอียด ลองคัดลอกไปวางใน Text Editor เพื่อดูว่ามีตัวอักษรแปลกปลอมหรือไม่
ตรวจสอบผู้เผยแพร่ (Publisher) ว่าเป็นบัญชีทางการของผู้พัฒนาตัวจริงหรือไม่
สังเกตยอดดาวน์โหลด หากเป็นแพ็คเกจใหม่ แต่ยอดดาวน์โหลดพุ่งสูงผิดปกติในเวลาสั้นๆ ให้สงสัยไว้ก่อนเลย
คอยมอนิเตอร์ Network Traffic ของระบบอยู่เสมอ ว่ามีการเชื่อมต่อที่น่าสงสัยออกไปยังเซิร์ฟเวอร์ที่ไม่รู้จักหรือไม่
ที่มา: Socket Security, ReversingLabs
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก