หมัดเดียวจอด! CrowdStrike จูงมือ Google ล่มระบบมัลแวร์ ‘GlassWorm’ ตัดท่อน้ำเลี้ยง Supply Chain Attack ระดับโลก

วันนี้ผมมีข่าวใหญ่ในวงการไอทีและไซเบอร์เซกิวริตี้มาเล่าให้ฟังครับ ถือเป็นข่าวดีที่ช่วยให้เหล่านักพัฒนาซอฟต์แวร์ (Developers) ได้หายใจทั่วท้องขึ้นมาหน่อย เมื่อสามยักษ์ใหญ่อย่าง CrowdStrike, Google และมูลนิธิ Shadowserver แท็กทีมกันทลายเครือข่ายบ็อตเน็ตของมัลแวร์ตัวร้ายที่มีชื่อว่า "GlassWorm" ได้สำเร็จครับ

เจ้า GlassWorm ตัวนี้ไม่ใช่กระจอกๆ เลยครับ มันจ้องเล่นงานกลุ่มนักพัฒนาซอฟต์แวร์โดยเฉพาะมาตั้งแต่ต้นปี 2025 เพราะรู้ดีว่าคอมพิวเตอร์ของนักพัฒนาคือ "กุญแจสำคัญ" ที่สามารถเข้าถึงซอร์สโค้ด ระบบคลาวด์ และระบบโปรดักชันขององค์กรใหญ่ๆ ได้ ถ้าเจาะเข้าคอมฯ นักพัฒนาได้แค่เครื่องเดียว ไอทีผู้ร้ายก็สามารถกระจายมัลแวร์ต่อไปยังผู้ใช้งานทั่วไปได้เป็นพันเป็นหมื่นคนทันที (ที่เราเรียกว่า Supply Chain Attack นั่นแหละครับ)

แผนการร้ายแยบยล ปลอมตัวเป็นเครื่องมือทำมาหากิน

ความแสบของ GlassWorm คือมันใช้วิธีซ่อนตัวมากับ VS Code extensions (ส่วนขยายของโปรแกรมเขียนโค้ดยอดฮิต) ทั้งบน Microsoft Marketplace และ Open VSX ทำให้คนที่ใช้โปรแกรมดัดแปลงอย่าง Cursor, Windsurf หรือ VSCodium พลอยโดนหางเลขไปด้วย แถมยังมีการแอบฝังโค้ดเนียนๆ ไว้ในแพ็กเกจ npm และ Python อีกต่างหาก

เมื่อเหยื่อหลงกลติดตั้งเข้าไป มันจะส่งมัลแวร์ที่ชื่อ GlassWorm เข้ามาขโมยข้อมูลเบราว์เซอร์ และแอบติดตั้งส่วนขยายบน Google Chrome เพื่อคอยจับภาพหน้าจอ แอบดูการกดแป้นพิมพ์ และดักข้อมูลในคลิปบอร์ด นอกจากนี้มันยังตามล่าหา Token สำคัญๆ อย่าง GitHub, NPM รวมถึงกระเป๋าเงินคริปโต แล้วเปลี่ยนคอมพิวเตอร์ของเหยื่อให้กลายเป็นทางผ่าน (Proxy) ในการเจาะเข้าเครือข่ายบริษัทต่อไปด้วย ซึ่งจากการตรวจสอบพบว่ามีคลังโค้ด (Repositories) บน GitHub กว่า 300 แห่งถูกพิษจากมัลแวร์นี้ไปแล้วครับ

เหนือชั้นด้วยช่องทางสั่งการ 4 ชั้น (แต่ก็ไม่รอด) 

สิ่งที่ทำให้ทีมสืบสวนต้องกุมขมับในตอนแรก คือระบบสั่งการ (Command-and-Control หรือ C2) ของ GalssWorm ที่ออกแบบมาให้อึดตายยากมาก โดยมันใช้ช่องทางสื่อสารพร้อมกันถึง 4 ทางเพื่อหลบเลี่ยงการโดนบล็อก

1. Solana Blockchain: แอบซ่อนที่อยู่เซิร์ฟเวอร์ไว้ในช่องบันทึก (Memo) ของธุรกรรมคริปโต
2. BitTorrent DHT: ใช้เครือข่ายแชร์ไฟล์แบบ Peer-to-Peer ในการดึงค่าคอนฟิก
3. Google Calendar: แอบใส่ที่อยู่เซิร์ฟเวอร์ไว้ในชื่อนัดหมายบนปฏิทินกูเกิล
4. VPS ทั่วไป: เชื่อมต่อตรงกับเซิร์ฟเวอร์เช่าราคาประหยัด

แต่ด้วยความร่วมมือระดับโลก รอบนี้เจ้าหน้าที่เลยร่วมมือกันล่มระบบ (Takedown) ทั้ง 4 ช่องทางพร้อมกันในหมัดเดียว ทำให้คอมพิวเตอร์ที่ติดเชื้อไปสามารถรับคำสั่งหรือส่งข้อมูลกลับไปหาคนร้ายได้อีกต่อไป โดยคาดว่ากลุ่มแฮกเกอร์รายนี้น่าจะอยู่ในรัสเซีย เนื่องจากตัวมัลแวร์จะหยุดทำงานทันทีหากตรวจพบว่าเครื่องคอมพิวเตอร์ตั้งอยู่ในกลุ่มประเทศเครือรัฐเอกราช (CIS) และในโค้ดก็มีหมายเหตุเป็นภาษารัสเซียอยู่เต็มไปหมด

บทเรียนราคาแพงจาก CrowdStrike

"ตราบใดที่สภาพแวดล้อมการทำงานของนักพัฒนาและคลังโค้ดยังไม่ได้รับการปกป้องที่ดีพอ ทุกองค์กรที่ใช้ซอฟต์แวร์ก็ต้องแบกรับความเสี่ยงร่วมกับผู้ผลิต GlassWorm แสดงให้เห็นว่าคนร้ายรู้จุดอ่อนนี้ดี และยอมลงทุนสร้างระบบที่แข็งแกร่งเพื่อยึดครองระบบนิเวศของนักพัฒนา"

ชาว Dev และคนไอทีทั้งหลาย ช่วงนี้จะดาวน์โหลด Extension หรือ Library อะไรมาใช้ ก็ต้องตรวจสอบกันให้ละเอียดถี่ถ้วนและระมัดระวังกันให้มากขึ้นนะครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก