ระวัง! มัลแวร์ PyStoreRAT แฝงตัวในโค้ดปลอมบน GitHub หลอกนักพัฒนาและนักวิเคราะห์

 

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ออกมาเตือนถึงแคมเปญใหม่ที่กำลังใช้พื้นที่เก็บโค้ด (Repository) บน GitHub ซึ่งเขียนด้วยภาษา Python เพื่อเผยแพร่โทรจันเข้าถึงระยะไกล (Remote Access Trojan - RAT) ที่ไม่เคยมีใครรู้จักมาก่อน ชื่อว่า PyStoreRAT

กลลวงสุดแนบเนียน

Morphisec บริษัทวิจัยด้านความปลอดภัย เปิดเผยว่า โค้ดปลอมเหล่านี้มักจะถูกสร้างขึ้นในรูปแบบของ เครื่องมือสำหรับนักพัฒนา (Development utilities) หรือ เครื่องมือ OSINT (Open-Source Intelligence) เช่น บอท DeFi (Decentralized Finance), แรปเปอร์ GPT, หรือเครื่องมือด้านความปลอดภัย

• วิธีการทำงาน: โค้ดใน Repository เหล่านี้มีเพียงไม่กี่บรรทัด ซึ่งมีหน้าที่แอบดาวน์โหลดไฟล์ HTA (HTML Application) จากระยะไกล แล้วสั่งรันผ่านคำสั่ง 'mshta.exe' โดยที่ผู้ใช้ไม่ทันสังเกต

• การสร้างความน่าเชื่อถือ:

• ผู้ไม่ประสงค์ดีจะโปรโมทเครื่องมือเหล่านี้ผ่านช่องทางโซเชียลมีเดีย เช่น YouTube และ X (Twitter)
• มีการ ปั๊มยอด Star และ Fork ของ Repository เพื่อให้ติดอันดับเทรนด์บน GitHub คล้ายกับเทคนิค Stargazers Ghost Network
• ในช่วงแรก เครื่องมืออาจจะดูเหมือนทำงานได้บ้าง หรือแค่แสดงเมนูแบบนิ่ง ๆ แต่ต่อมาจะมีการแอบใส่โค้ดอันตรายผ่านการอัปเดต (Commit) ในช่วงเดือนตุลาคมและพฤศจิกายน หลังจากที่เริ่มได้รับความนิยม

ความสามารถของ PyStoreRAT

PyStoreRAT ถูกอธิบายว่าเป็นมัลแวร์แบบ "โมดูลาร์ หลายขั้นตอน" ที่สามารถรันไฟล์ได้หลายประเภท เช่น EXE, DLL, PowerShell, MSI, Python, JavaScript และ HTA

• ความสามารถหลัก:

• เก็บข้อมูลระบบและตรวจหาสิทธิ์ผู้ดูแลระบบ (Admin)
• สแกนหาไฟล์ที่เกี่ยวข้องกับกระเป๋าเงินคริปโทเคอร์เรนซี ชื่อดัง เช่น Ledger Live, Trezor, Exodus, Atomic, Guarda และ BitBox02
• ติดตั้งโปรแกรมขโมยข้อมูลที่รู้จักกันในชื่อ Rhadamanthys เป็น Payload ลำดับถัดไป

• การหลบเลี่ยงการตรวจจับ (Evasion):

• โค้ด Loader จะรวบรวมรายชื่อโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ และตรวจสอบชื่อที่ตรงกับ "Falcon" (หมายถึง CrowdStrike Falcon) หรือ "Reason" (หมายถึง Cybereason หรือ ReasonLabs) เพื่อลดการถูกมองเห็น
• หากตรวจพบโปรแกรมเหล่านี้ จะเปลี่ยนวิธีการรันไฟล์ mshta.exe ผ่าน cmd.exe
• การคงอยู่ (Persistence): สร้าง Scheduled Task ปลอมในชื่อของการอัปเดตตัวเองของแอป NVIDIA เพื่อให้มัลแวร์ทำงานได้ตลอด

อีกด้านหนึ่ง: SetcodeRat เล็งเป้าหมายภูมิภาคจีน

นอกจาก PyStoreRAT แล้ว มีรายงานจาก QiAnXin ผู้ให้บริการด้านความปลอดภัยจากจีน ถึงมัลแวร์ RAT ตัวใหม่ชื่อ SetcodeRat ที่แพร่กระจายผ่านโฆษณาอันตราย (Malvertising) ในภูมิภาคจีนตั้งแต่เดือนตุลาคม 2025 โดยมีคอมพิวเตอร์หลายร้อยเครื่องติดเชื้อในเวลาเพียงเดือนเดียว

• การเลือกเหยื่อ: SetcodeRat จะตรวจสอบภูมิภาคของเหยื่อก่อน หากไม่ใช่พื้นที่ที่ใช้ภาษาจีน (จีนแผ่นดินใหญ่, ฮ่องกง, มาเก๊า, ไต้หวัน) จะยกเลิกการทำงานทันที
• กลลวง: ปลอมตัวเป็นโปรแกรมติดตั้งของแอปพลิเคชันยอดนิยมอย่าง Google Chrome
• ความสามารถ: สามารถจับภาพหน้าจอ, บันทึกการกดแป้นพิมพ์ (Keylog), อ่านและจัดการโฟลเดอร์, เริ่มกระบวนการทำงาน (Process), รันคำสั่ง cmd.exe, รวบรวมข้อมูลระบบและเครือข่าย, และอัปเดตตัวเอง

ข้อแนะนำจากป๋าแหง็ม

PyStoreRAT แสดงให้เห็นว่าการโจมตีทางไซเบอร์เริ่มเปลี่ยนไปสู่มัลแวร์ที่ใช้สคริปต์แบบโมดูลาร์มากขึ้น ซึ่งปรับตัวให้เข้ากับมาตรการรักษาความปลอดภัยและส่ง Payload ได้หลายรูปแบบ การใช้ GitHub ซึ่งเป็นแพลตฟอร์มที่ได้รับความไว้วางใจมาเป็นช่องทางในการแพร่กระจาย ยิ่งทำให้การตรวจจับในระยะเริ่มต้นทำได้ยากขึ้นมาก

ขอให้นักพัฒนาและนักวิเคราะห์ทุกท่านระมัดระวัง:

1. ตรวจสอบโค้ดอย่างละเอียด: ก่อนดาวน์โหลดหรือรันโค้ด Python/JavaScript ใด ๆ จาก GitHub โดยเฉพาะเครื่องมือที่มี Star/Fork สูงผิดปกติ ให้ตรวจสอบ source code ด้วยตัวเองก่อนเสมอ
2. ระวัง Tools ใหม่ ๆ: อย่าหลงเชื่อเครื่องมือที่เพิ่งเปิดตัวและอ้างความสามารถเกินจริง โดยไม่มีประวัติการใช้งานที่ยาวนาน
3. อัปเดตระบบรักษาความปลอดภัย: ตรวจสอบให้แน่ใจว่าโปรแกรม Endpoint Detection and Response (EDR) และโปรแกรมป้องกันไวรัสของคุณทำงานและอัปเดตอยู่เสมอ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก