เตือนภัยชาว Python! มัลแวร์ GlassWorm บุกยึด GitHub แถม "เนียน" จนประวัติไม่เสีย

Published:

ข่าวระดับโลกที่กระทบต่อคนทำสาย Dev และคนใช้ Python ทั่วโลกมาฝากครับ เป็นเรื่องของมัลแวร์ตัวแสบที่ชื่อว่า "GlassWorm" ที่ตอนนี้อัปเกรดความร้ายกาจขึ้นไปอีกขั้นในชื่อปฏิบัติการ "ForceMemo" ครับ

เหล่านักพัฒนาระบบต้องระวังตัวให้หนักครับ ล่าสุดมีการค้นพบแคมเปญมัลแวร์ตัวใหม่ที่ต่อยอดมาจาก GlassWorm โดยใช้ชื่อรหัสว่า "ForceMemo" ซึ่งความน่ากลัวของมันคือการขโมยสิทธิ์ (Token) ของเจ้าของโปรเจกต์บน GitHub แล้วแอบเอาโค้ดอันตรายไปยัดใส่ไว้ใน Repository (คลังเก็บโค้ด) ของ Phython โดยที่เราแทบจะดูไม่ออกเลยครับ

มันทำงานยังไง?

  1. เจาะที่คนทำ: เริ่มต้นมันจะหลอกให้นักพัฒนาติดตั้ง Extension (ส่วนเสริม) ปลอม บน VS Code หรือ Cursor จากนั้นมันจะขโมย GitHub Token (กุญแจบ้าน) ของเราไป
  2. ปลอมประวัติ: พอมันได้กุญแจแล้ว มันจะเข้าไปที่โปรเจกต์ Python ของเรา แล้วใช้เทคนิค "Force-Push" เพื่อแก้ไขประวัติการแก้โค้ด (Git History) โยที่ชื่อคนแก้ วันเวลา และข้อความกำกับ (Commit Message) ยังเป็นชื่อเจ้าของเดิมเป๊ะๆ ทำให้ไม่มีร่องรอยการแก้ไขผิดปกติโผล่ขึ้นมาให้เห็น
  3. ฝังตัวในไฟล์หลัก: มันจะเอาโค้ดอันตรายไปแปะท้ายไฟล์สำคัญอย่าง setup.py, main.py, หรือ app.py ใครที่เผลอไป pip install หรือ Clone โค้ดชุดนี้ไปรัน ก็จะโดนดีทันทีครับ
  4. เช็กสัญชาตก่อนถล่ม: ที่แสบคือ โค้ดนี้จะเช็กเครื่องเหยื่อก่อน ถ้าเป็นเครื่องที่ตั้งค่าภาษา (Locale) เป็น "รัสเซีย" มันจะไม่ทำงาน แต่ถ้าเป็นประเทศอื่น (รวมถึงไทย) มันจะไปดึงข้อมูลจากกระเป๋าเงินคริปโต Solana เพื่อหาที่อยู่เซิร์ฟเวอร์ (C2) แล้วดาวน์โหลดมัลแวร์ตัวอื่นมาดูดเงินคริปโตและข้อมูลในเครื่องเราต่อ

ข้อมูลที่น่าสนใจ

  • เริ่มระบาดหนัก: ตั้งแต่วันที่ 8 มีนาคม 2026 ที่ผ่านมา
  • เป้าหมาย: โปรเจกต์ Python ทุกรูปแบบ ตั้งแต่แอป Django, งานวิจัย ML (AI), ไปจนถึง Dashboard ของ Streamlit
  • เทคนิคใหม่: เป็นแคมเปญแรกที่ใช้วิธี Force-Push เพื่อเขียนทับประวัติ Git ทำให้ตรวจพบได้ยากมากผ่านหน้าจอ GitHub ปกติ

วิธีป้องกันตัว

  • ตรวจสอบ Extension: อย่าติดตั้งส่วนเสริมแปลกๆ ในโปรแกรมเขียนโค้ด ให้เลือกตัวที่มีน่าเชื่อถือสูงเท่านั้น
  • ใช้ 2FA: เปิดการยืนยันตัวตนสองชั้น (Two-Factor Authentication) ใน GitHub เสมอ
  • ตรวจสอบ Token: หมั่นตรวจสอบสิทธิ์การเข้าถึง (Personal Access Tokens) และลบตัวที่ไม่จำเป็นออก
  • สังเกตุความผิดปกติ: หากโปรเจกต์มีความเคลื่อนไหวแปลกๆ หรือไฟล์หลักมีโค้ดแปลกปลอม (มักเป็นรหัส Base64 ยาวๆ ให้รีบตรวจสอบทันที
ระวังตัวกันด้วยนะครับพี่น้องสาย Tech สมัยนี้โจรมันฉลาดและเนียนขึ้นทุกวัน

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์