แฉกลยุทธ์ใหม่เกาหลีเหนือ ลาซารัส! ยกระดับโจมตีคริปโต ตั้งบริษัทบังหน้า เจาะวงการนักพัฒนาโลก

กลุ่มแฮกเกอร์เกาหลีเหนือพัฒนาเทคนิคซับซ้อนบุกอุตสาหกรรมคริปโต ตั้งบริษัทจริงในสหรัฐฯ ลวงนักพัฒนาติดมัลแวร์ผ่าน Zoom ซ้ำยังปล่อยโค้ดอันตรายใน GitHub และ NPM หวังขโมยเงินคริปโตมหาศาล นักวิเคราะห์ชี้ ลาซารัสกำลังพลิกเกมไซเบอร์สู่อีกระดับ ขณะที่ FBI และบริษัทรักษาความปลอดภัยเร่งรับมือ ก่อนหายนะลุกลามทั่วโลก

ภัยคุกคามจากเกาหลีเหนือกำลังเปลี่ยนโฉมอย่างรวดเร็วและน่ากังวลยิ่งขึ้น

รายงานล่าสุดเผยว่า กลุ่ม Lazarus กองกำลังหน่วยปฏิบัติการไซเบอร์สุดอื้อฉาวที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ พร้อมด้วยกลุ่มย่อยที่ชื่อ "Contagious Interview" กำลังยกระดับเทคนิคโจมตีคริปโตครั้งใหม่ ด้วยแผนซับซ้อนที่ลึกกว่าเดิม

นักวิจัยจากบริษัท Silent Push ระบุว่า แฮกเกอร์กลุ่มนี้ไม่เพียงแค่โจมตีผ่านการประชุม Zoom หรือฝังมัลแวร์ในแพ็กเกจ GitHub และ NPM เท่านั้น แต่พวกเขายังถึงขั้น "ตั้งบริษัทจริงในสหรัฐอเมริกา" เพื่อสร้างภาพลวงตาที่น่าเชื่อถือ เจาะเข้าหานักพัฒนาคริปโตโดยตรง


ตัวอย่างที่ถูกเปิดโปงคือบริษัท Blocknovas LLC และ Softglide LLC ซึ่งจดทะเบียนในรัฐนิวเม็กซิโกและนิวยอร์ก ด้วยข้อมูลประจำตัวและที่อยู่ปลอม รายงานยังพบความเชื่อมโยงกับบริษัทลับอีกแห่งชื่อ Angeloper Agency แม้จะไม่พบการจดทะเบียนอย่างเป็นทางการในสหรัฐฯ ก็ตาม

Blocknovas เป็นบริษัทบังหน้าที่มีความเคลื่อนไหวโดดเด่นที่สุด และตามการให้สัมภาษณ์ของ Kasey Best ผู้อำนวยการข่าวกรองภัยคุกคามแห่ง Silent Push ต่อสำนักข่าว Reuters ชี้ว่า "นี่คือตัวอย่างหายากที่แฮกเกอร์จากเกาหลีเหนือสามารถตั้งบริษัทตามกฎหมายในอเมริกาได้สำเร็จ เพื่อใช้หลอกล่อเหยื่อ"


ลวงผ่าน Zoom กดลิงก์เดียวหมดตัว

หนึ่งในเทคนิคที่โด่งดังและแพร่หลาย คือการหลอกสัมภาษณ์งานผ่าน Zoom เพื่อแพร่กระจายมัลแวร์ นักวิจัย นิกซ์ แบ็ก จาก Security Alliance เปิดเผยว่า เหล่าแฮกเกอร์ปลอมตัวเป็นนายจ้าง แล้วระหว่างสัมภาษณ์ จะส่งลิงก์ให้เหยื่อโดยอ้างว่ามีปัญหาทางเทคนิค หากเหยื่อเผลอคลิกเข้าไป เครื่องจะติดมัลแวร์ทันที

เป้าหมายเรียบง่ายแต่โหดเหี้ยม "เข้าถึงกระเป๋าเงินคริปโต ขโมยข้อมูลบัญชี และดูดเงินออกจนหมด" แหล่งข่าวระบุ

นอกจากนี้ แบ็ก ระบุว่า ด้วยเทคนิคนี้ กลุ่มแฮกเกอร์โกยเงินได้ "หลายสิบล้านดอลลาร์" แล้ว และยิ่งน่ากลัวขึ้นไปอีก เมื่อกลุ่มอื่นเริ่มเลียนแบบตามอย่างรวดเร็ว

“Contagious Interview” ยกระดับแฮ็กเกอร์โค้ด JavaScript อันตราย

อย่างไรก็ตาม แบ็ก ระบุว่าการลวงผ่าน Zoom ยังไม่ใช่ทั้งหมด โดย Silent Push เปิดเผยว่า การโจมตีล่าสุดมีการพัฒนาไปอีกขั้น ด้วยการฝัง JavaScript อันตรายลงใน GitHub และ NPM ด้วยการเครื่องมือที่นักพัฒนาซอฟต์แวร์ทั่วโลกใช้เป็นประจำ

การโจมตีนี้เริ่มต้นตั้งแต่เดือนสิงหาคม 2567 ภายใต้โครงการใหม่ของกลุ่ม Contagious Interview ที่ออกแบบมาเพื่อล้วงข้อมูลและขโมยเงินคริปโตจากการเจาะห่วงโซ่อุปทาน (supply chain attack)

Marstech1 คือมัลแวร์ตัวใหม่ที่พวกเขาใช้ เป็นอาวุธลับเจาะกระเป๋าสตางค์คริปโตยอดนิยมอย่าง MetaMask, Exodus และ Atomic ทำให้เหยื่อตกเป็นเป้าอย่างง่ายดาย

ข้อมูลจากบริษัท SecurityScorecard พบว่า มีผู้ติดตั้งมัลแวร์ Marstech1 แล้วกว่า 233 ราย ระหว่างเดือนกันยายน 2567 ถึงมกราคม 2568


FBI เร่งสืบเชิงลึก ชี้อันตรายไซเบอร์แค่เริ่มต้น

แม้ว่า FBI จะเข้ามายึดโดเมนของ Blocknovas เพื่อตอบโต้การหลอกลวงครั้งนี้ แต่เว็บไซต์บังหน้าบางแห่งยังคงเปิดใช้งานอยู่ ณ เวลาที่มีการรายงาน

แน่นอนว่าการเคลื่อนไหวของกลุ่ม Lazarus และหน่วยย่อยอย่าง Contagious Interview สะท้อนให้เห็นถึงยุทธศาสตร์ใหม่ของเกาหลีเหนือ ที่ไม่เพียงแค่ "แฮก" แบบดั้งเดิม แต่ขยับขึ้นสู่การ "ตั้งบริษัท" สร้างตัวตนปลอมในโลกจริง เพื่อขยายอำนาจทำลายล้างในโลกไซเบอร์อย่างมีระบบ ดังนั้นศึกนี้จึงไม่ใช่เพียงการโจมตีออนไลน์อีกต่อไป แต่เป็นการลอบเร้นที่แทรกซึมเข้าโครงสร้างเศรษฐกิจดิจิทัลอย่างแนบเนียน และทั่วถึง