เตือนภัยนักพัฒนา! แฮกเกอร์เกาหลีเหนือส่งโปรเจกต์ VS Code แฝงมัลแวร์ ดูดข้อมูล-ยึดเครื่อง
เหล่านักพัฒนาซอฟต์แวร์ (Developers) โดยเฉพาะสาย Crypto และ Blockchain ระวังตัวกันให้นะครับ เพราะล่าสุดมีการตรวจพบแคมเปญ ที่ชื่อว่า "Contagious Interview" ซึ่งเชื่อว่าเป็นฝีมือของกลุ่มแฮกเกอร์ที่มีความเชื่อมโยงกับเกาหลีเหนือ
กลโกงใหม่ "สัมภาษณ์งานปลอม" แต่ของแถมคือมัลแวร์
วิธีการของคนร้ายกลุ่มนี้เนียนมาก พวกเขาจะแฝงตัวมาในคราบผู้สรรหาบุคลากร (Recruiter) หรือ CTO ของโปรเจกต์ดังๆ แล้วติดต่อเหยื่อผ่านทาง LinkedIn หรือช่องทางออนไลน์อื่นๆ โดยอ้างว่าอยากชวนมาทำงานด้วย และส่ง "โจทย์ทดสอบฝีมือ" (Technical Assessment) มาทำให้
จุดอันตรายอยู่ตรงนี้
- แฮกเกอร์จะส่งลิงค์จาก GitHub, GitLab หรือ Bitbucket ให้เรา Clone โปรเจกต์ไปเปิดดู
- เมื่อเราเปิดโปรเจกต์นั้นด้วย Microsoft Visual Studio Code (VS Code) และกด "trust" (เชื่อถือ) ผู้สร้างโปรเจกต์
- ทันทีที่เปิดโฟลเดอร์ ระบบจะสั่งรันคำสั่งอัตโนมัติผ่านไฟล์ที่ชื่อว่า tasks . json ซึ่งแอบฝังคำสั่งอันตรายไว้
เมื่อเหยื่อหลงกลเปิดโปรเจกต์ มัลแวร์จะเริ่มทำงานทันทีโดยที่แทบไม่รู้ตัว
- ระยะแรก (BeaverTail): จะแอบดาวน์โหลดสคริปต์ JavaScript จากโดเมนภายนอกมาฝังในเครื่อง มุ่งเน้นไปที่การขโมยข้อมูลในเบราว์เซอร์ และเปลี่ยนที่อยู่กระเป๋าเงินดิจิทัล (Crypto Wallet) ในตอนที่เราก๊อปปี้วาง (Clipboard)
- ระยะที่สอง (InvisibleFerret): เป็นมัลแวร์สายลับที่ซับซ้อนกว่าเดิม มันสามารถบันทึกการพิมพ์ (Keylogging), ถ่ายภาพหน้าจอ, สแกนหาไฟล์สำคัญในเรื่อง และยังแอบติดตั้งโปรแกรม AnyDesk เพื่อให้แฮกเกอร์รีโมทเข้ามาควบคุมเครื่องเราได้ทุกเมื่อ
วิธีป้องกันตัว
- อย่ากด Trust ง่าย: หาก Clone โปรเจกต์มาจากคนที่ไม่รู้จักหรือบริษัทที่ไม่น่าเชื่อถือ อย่าเพิ่งกด "Yes, I trust the authors" ใน VS Code เด็ดขาดครับ
- เช็กไฟล์ Tasks: ก่อนจะรันอะไร ให้ลองเปิดดูโฟล์เดอร์ .vscode และเช็กไฟล์ tasks . json ว่ามีคำสั่งแปลกๆ ที่สั่งรัน Script หรือดึงข้อมูลจาก URL ภายนอกหรือไม่
- แยกสภาพแวดล้อมการทำงาน: หากต้องทดสอบโค้ดจากแหล่งที่ไม่มั่นใจ ควรทำบน Virtual Machine (VM) หรือ Sandbox ที่แยกออกจากเครื่องหลักครับ
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก
Tags:
ข่าวไอที