เตือนภัยไซเบอร์ กลุ่มแฮ็กเกอร์เกาหลีเหนือมุ่งเป้านักพัฒนา ผ่าน "การสัมภาษณ์งานปลอม" และแพ็กเกจ npm
และแพ็กเกจ npm อันตรายกว่า 197 รายการ
ในขณะที่อุตสาหกรรมเทคโนโลยีกำลังเติบโต ภัยคุกคามทางไซเบอร์รูปแบบใหม่ได้พัฒนาความซับซ้อนขึ้นอย่างน่ากังวล ล่าสุดมีการตรวจพบแคมเปญโจมตีระดับสูงจากกลุ่มแฮ็กเกอร์เกาหลีเหนือ ที่มุ่งเป้าเจาะระบบองค์กรผ่านบุคลากรตำแหน่ง นักพัฒนาซอฟต์แวร์ (Software Developers) โดยใช้กระบวนการสรรหาบุคลากรเป็นเครื่องมือในการโจมตี (Weaponizing Recruitment Process)
สถานการณ์ล่าสุด การระบาดของแคมเปญ "Contagious Interview"
รายงานจาก Socket ระบุว่า กลุ่มผู้คุกคามได้ทำการเผยแพร่ Malicious Packages (แพ็กเกจอันตราย) ลงใน npm registry ซึ่งเป็นคลังโค้ดมาตรฐานของนักพัฒนา JavaScript ทั่วโลก เพิ่มขึ้นถึง 197 รายการ ภายในเดือนเดียว และมียอดการดาวน์โหลดไปแล้วกว่า 31,000 ครั้ง
กลยุทธ์การโจมตี
กลุ่มผู้ไม่ประสงค์ดีใช้เทคนิค Social Engineering โดยแบ่งขั้นตอนการโจมตีดังนี้
การสร้างความน่าเชื่อถือ: คนร้ายจะสวมรอยเป็นฝ่ายบุคคลหรือผู้ว่าจ้าง ติดต่อเป้าหมายผ่าน LinkedIn หรือแพลตฟอร์มหางาน โดยเน้นกลุ่มเป้าหมายในสายงาน Cryptocurrency และ Web3
กับดักการทดสอบงาน (Coding Test): ผู้สมัครจะได้รับโจทย์ทดสอบความสามารถ ซึ่งดูเหมือนเป็นขั้นตอนปกติ แต่สิ่งที่แฝงมาคือการบังคับให้ติดตั้ง npm package ที่คนร้ายเตรียมไว้
การเลียนแบบชื่อ (Typosquatting): แพ็กเกจอันตรายมักถูกตั้งชื่อให้ใกล้เคียงกับ Library ที่มีชื่อเสียงเพื่อลดความสงสัย เช่น Node-tailwind, Tailwind-magic หรือ Session-keeper
ความสามารถของมัลแวร์ "OtterCookie"
เมื่อเหยื่อติดตั้งแพ็กเกจดังกล่าว มัลแวร์ OtterCookie (รุ่นปรับปรุงใหม่) จะเริ่มทำงานด้วยขีดความสามารถระดับสูง เช่น
การหลบเลี่ยงการตรวจจับ: สามารถตรวจสอบสภาพแวดล้อมว่ากำลังรันอยู่บน Sandbox หรือ Virtual Machine หรือไม่ เพื่อซ่อนตัวจากการวิเคราะห์
การโจรกรรมข้อมูล (Data Exfiltration): มุ่งเน้นการขโมยข้อมูลกระเป๋าเงินดิจิทัล (Crypto Wallets), รหัสผ่านที่บันทึกในเบราว์เซอร์ และข้อมูลใน Clipboard
การควบคุมระยะไกล (RAT): เปิดช่องทางให้ผู้โจมตีสามารถเข้าถึงและควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้จากระยะไกล รองรับทั้งระบบปฏิบัติการ Windows, macOS และ Linux
วิวัฒนาการใหม่ "ClickFake Interview"
นอกจากการหลอกให้ติดตั้งแพ็กเกจ คนร้ายยังได้พัฒนารูปแบบการหลอกลวงผ่านเว็บไซต์สัมภาษณ์งานปลอม โดยสร้างสถานการณ์ว่า "กล้องหรือไมโครโฟนมีปัญหา" และแสดงหน้าต่างแนะนำวิธีแก้ไข (Fake Troubleshooting) หากเหยื่อหลงเชื่อและทำตามคำแนะนำ (เช่น การคัดลอกคำสั่งไปรันใน Terminal) จะเป็นการติดตั้งมัลแวร์ GolangGhost ลงในเครื่องทันที ซึ่งนำไปสู่การดักจับข้อมูลหน้าจอและการขโมยรหัสผ่าน
ข้อสรุปและข้อแนะนำสำหรับองค์กร
กรณีศึกษานี้ชี้ให้เห็นว่า "กระบวนการจ้างงาน" ได้กลายเป็นช่องโหว่ใหม่ที่องค์กรและบุคลากรต้องระมัดระวังเป็นพิเศษ ข้อแนะนำเพื่อความปลอดภัยมีดังนี้
ตรวจสอบแหล่งที่มา: ระมัดระวังการทำแบบทดสอบที่ต้องมีการดาวน์โหลดและรันโค้ดจากแหล่งที่ไม่รู้จัก หรือ GitHub Repository ส่วนตัว
การจัดการ Dependencies: ตรวจสอบชื่อแพ็กเกจ npm อย่างละเอียดก่อนการติดตั้ง หลีกเลี่ยงแพ็กเกจที่มีชื่อคล้ายคลึงกับของจริงแต่สะกดผิดเพี้ยน
แยกสภาพแวดล้อม (Isolation): หากจำเป็นต้องทำแบบทดสอบที่มีความเสี่ยง ควรใช้เครื่องคอมพิวเตอร์ที่แยกออกจากเครือข่ายหลักขององค์กร หรือใช้ Sandbox Environment
ตระหนักรู้เรื่องภัยคุกคาม: ให้ความรู้แก่พนักงานเกี่ยวกับรูปแบบการโจมตีผ่าน Social Engineering โดยเฉพาะในบริบทของการรับสมัครงาน
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner.
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #SoftwareEngineering #OtterCookie
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2026 Blockdit
