มุกใหม่แฮกเกอร์เกาหลีเหนือ: หลอกให้ตรวจโค้ด แต่แอบฝังมัลแวร์
ทีมนักวิจัยจาก Proofpoint ได้ออกมาเตือนถึงแคมเปญไซเบอร์ล่าสุดภายใต้รหัส UNK_DeadDrop ซึ่งมีความเชื่อมโยงกับกลุ่มแฮกเกอร์เกาหลีเหนือชื่อดังอย่าง Contagious Interview (หรือที่รู้จักกันในชื่อ Famous Chollima, HexagonalRodent และ Void Dokkeabi)
รอบนี้พี่แกมาเหนือครับ โดยการส่งอีเมบฟิชชิ่ง (Phishing) ไปยังองค์กรต่างๆ เกือบ 100 แห่ง ทั้งในกลุ่มการเงิน คริปโต เทคโนโลยีและการศึกษา โดยใช้มุก "รับสมัครงานตำแหน่งนักพัฒนา" หรือ "ส่งโค้ดมาให้ช่วยรีวิว" > กลลวงที่แนบเนียบ: แฮกเกอร์จะส่งลิงก์ GitHub มาให้เรา โดยบอกว่าเป็นแบบทดสอบทางเทคนิคหรือโปรเจกต์คริปโต แล้วบอกให้เราทำการ Clone Repository นั้นลงเครื่องงและเปิดมันด้วยโปรแกรมเขียนโค้ดชื่อดังอย่าง VS Code หรือ Cursor
เทคนิคเด็ด "แค่เปิดโฟลเดอร์ ก็โดนแล้ว
ความน่ากลัวขอแคมเปญนี้ (ที่เริ่มใช้มาตั้งแต่ปลายปี 2025) คือพวกมันใช้ฟีเจอร์เด็ดของ VS Code ที่ชื่อว่าเทคนิค runon: folderopen ครับ
นั่นหมายความว่า ทันทีที่เราเปิดโฟลเดอร์โปรเจกต์นั้นขึ้นมาใน VS Code มัลแวร์จะทำงานทันทีโดยอัตโนมัติ โดยที่เรายังไม่ได้กดรันโค้ดเลยด้วยซ้ำ ตัวมัลแวร์จะแยกแยะระบบปฏิบัติการของเหยื่อทันที ไม่ว่าคุณจะใช้ Windows, macOS หรือ Linux ก็ไม่รอด เพราะมันเตรียมสริปต์แยกไว้รองรับทุกระบบเพื่อติดตั้งมัลแวร์ข้ามแพลตฟอร์มอย่างเฟรมเวิร์กโอเพนซอร์สที่ชื่อ Overlord
เจาะลึกวิธีการทำงานของมัลแวร์
- สร้างหน้าต่างปลอม: บน macOS และ Linux มันจะสร้างป๊อปอัปความปลอดภัยปลอมขึ้นมาเพื่อหลอกให้เรากรอกรหัสผ่านของระบบ (System Password)
- ปลอมเป็นปลั๊กอิน Google: มันจะแอบติดตั้งส่วนขยายของ VS Code (ไฟล์ .VSIX) ปลอม โดยแอบอ้างว่าเป็นบริการที่ถูกต้องของ Google
- เป้าหมายสูงสุด: ขโมยข้อมูลรหัสผ่านที่บันทึกไว้ในเบาวเซอร์และที่สำคัญที่สุดคือ ขโมยเงินดิจิทัล จากกระเป๋าคริปโต (Crypto Wallets) ทั้งที่เป็น Extention บนเบราวเซอร์และแอปบนเดสก์ท็อป แล้วส่งงข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ทันที
ยกระดับการโจมตีสู่ "ระดับอุตสาหกรรม" และใช้ AI ช่วย
จากการวิเคราะห์พบว่า แคมเปญนี้เริ่มเปลี่ยนจากเดิมที่เน้นทักไปคุยตีสนิทเพื่อหลอกสัมภาษณ์งานผ่านโซเชียลมีเดีย (เช่น LinkedIn) มาเป็นการ หว่านอีเมลฟิชชิ่งจำนวนมาก แทน ซึ่งแสดงให้เห็นว่ากลุ่มแฮกเกอร์เกาหลีเหนือกำลังขยายสเกลการโจมตีให้ใหญ่และเป็นระบบเหมือนโรงานอุตสาหกรรมมากขึ้น
นอกจากนี้ รายงานจากค่าย Expel ยังระบุอีกว่า แฮกเกอร์กลุ่มนี้มีการนำ Generative AI มาช่วยเขียนโค้ดมัลแวร์ (Loader) รวมถึงใช้สร้างโปรไฟล์บริษัทปลอมและบัญชี LinkedIn ปลอมเพื่อหลอกล่อเหยื่อด้วย ซึ่งความเสียหายเฉพาะช่วง 3 เดือนแรกของปี 2026 นี้ มีการสูญเสียเงินคริปโตไปแล้วกว่า 12 ล้านดอลลาร์ และมีกระเป๋าคริปโตถูกขโมยไปมากกว่า 26,000 กระเป๋า จากระบบของนักพัฒนาที่ติดเชื้อราวๆ 2,700 รายครับ
ลามไปถึง Extension บน Marketplace และแพ็กเกจ NPM ปลอม
นอกจากนี้ บริษัทความปลอดภัยอย่าง Yeeth Security และทีมนักวิจัยอื่นๆ ยังตรวจพบภัยเงียบอีกหลายจุดครับ
- ปลั๊กอินปลอมบน Official Marketplace: พบส่วนขยายของ VS Code ปลอม 3 ตัว (เช่น แอบอ้างเป็นเครื่องมือเพิ่มประสิทธิภาพสำหรับ Jupyter Notebook หรือ Markdown) ซึ่งจริงๆ แล้วเป็นประตูลับ (Backdoor) ระดับสูงที่เชื่อมต่อผ่าน Microsoft Graph API และ SharePoint เพื่อเข้ามาสั่งการเครื่องของเรา
- ระบาดในคลังโค้ดโอเพนซอร์ส (NPM / Packagist): มีการส่งแพ็กเกจอันตรายเข้าไปฝังในระบบนิเวศของนักพัฒนา เช่น แคมเปญ TaskJacker ที่แอบส่งไฟล์โค้ดอันตรายใน tasks.json หรือการใช้ Git hooks (.githooks/pre-commit) ที่จะสั่งรันมัลแวร์ทันทีที่เราสั่ง Clone โค้ดลงเครื่อง
- การเปลี่ยนเหยื่อให้เป็นเครื่องมือกระจายพันธ์ุ: เทรนด์ไมโคร (Trend Micro) ระบุว่า เมื่อเครื่องของนักพัฒนาคนไหนติดเชื้อแล้ว แฮกเกอร์จะใช้เครื่องนั้นเป็นฐานทัพในการเข้าไปแก้ไขโค้ดใน Repository ของเหยื่อ เพื่อส่งต่อมัลแวร์ไปยังนักพัฒนาคนอื่นๆ ที่มาใช้งานต่อ เหมือนกับพฤติกรรมของหนอนคอมพิวเตอร์ (Worm) เลยครับ
ดังนั้น ต่อไปนี้เวลารับงานเสริม, ช่วยใครรีวิวโค้ด หรือจะ Clone โปรเจกต์อะไรแปลกๆ มาเปิดดูในเครื่อง ต้องตรวจสอบให้ดีและเพิ่มความระมัดระวังเป็นทวีคูณเลยนะครับ อย่าคิดว่าแค่เปิดดูเฉยๆ จะไม่เป็นไร เพราะเดี๋ยวนี้ "แค่เปิดโฟลเดอร์ เงินก็ปลิวได้แล้ว" ครับ
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก