xs
xsm
sm
md
lg

แฮกเกอร์เปิดเกมใหม่ ซ่อนมัลแวร์ในสัญญาอัจฉริยะ Ethereum

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์



นักวิจัยด้านความปลอดภัยไซเบอร์จาก ReversingLabs พบการโจมตีรูปแบบใหม่ที่ใช้สัญญาอัจฉริยะ (Smart Contract) ของ Ethereum ซ่อนคำสั่งอันตรายและ URL มัลแวร์ เพื่อตบตาการสแกนด้านความปลอดภัย โดยพบแพ็กเกจ NPM สองตัวที่ถูกสร้างขึ้นมาเพื่อปล่อยมัลแวร์ระลอกสอง พร้อมเชื่อมโยงกับแคมเปญลวงตาขนาดใหญ่บน GitHub ตอกย้ำเทรนด์การโจมตีโอเพ่นซอร์ซที่ยกระดับความซับซ้อนและอาศัยบล็อกเชนเป็นเครื่องมือพรางตัว

เปิดโปงมัลแวร์ในแพ็กเกจ NPM

ทีมวิจัยของ ReversingLabs ตรวจพบมัลแวร์ใหม่ในแพ็กเกจโอเพ่นซอร์ซบน Node Package Manager (NPM) ซึ่งเป็นคลังซอฟต์แวร์ JavaScript ที่ใหญ่ที่สุด โดยแพ็กเกจ “colortoolsv2” และ “mimelib2” ที่เผยแพร่ในเดือนกรกฎาคม ถูกออกแบบให้ใช้สัญญาอัจฉริยะ Ethereum เป็นที่ซ่อนคำสั่งอันตรายและ URL สำหรับดาวน์โหลดมัลแวร์ขั้นที่สองลงบนเครื่องที่ถูกเจาะ ระบบดังกล่าวทำให้การตรวจจับแทบเป็นไปไม่ได้ เนื่องจากการเรียกใช้งานบล็อกเชนดูเหมือนการทำธุรกรรมปกติ

ลักษณะการโจมตีของมัลแวร์ชุดนี้ทำหน้าที่เป็น “ดาวน์โหลดเดอร์” โดยไม่บรรจุลิงก์อันตรายตรง ๆ แต่ดึงข้อมูลที่อยู่เซิร์ฟเวอร์สั่งการ (C2) จาก Smart Contract บน Ethereum เมื่อรันแล้วจะโหลดมัลแวร์ตัวจริงที่มี Payload หรือคำสั่งโจมตีลงมา ทำให้การสแกนด้านความปลอดภัยหลงทางและตรวจจับยากขึ้น

กลยุทธ์ใหม่ ยกระดับเกมโจมตี

Lucija Valentić นักวิจัยจาก ReversingLabs อธิบายว่า การใช้สัญญาอัจฉริยะเพื่อซ่อน URL มัลแวร์เป็น “เทคนิคใหม่ที่ไม่เคยพบมาก่อน” และสะท้อนถึงการวิวัฒนาการอย่างรวดเร็วของกลยุทธ์เลี่ยงการตรวจจับ โดยแฮกเกอร์หันมาใช้โอเพ่นซอร์ซเป็นพื้นที่ล่อเหยื่อ พร้อมทั้งปรับใช้เทคนิคบล็อกเชนเพื่อทำให้โครงสร้างการโจมตียุ่งยากและตรวจจับยากขึ้น

ทั้งนี้แม้การใช้ Smart Contract เพื่อแฝงมัลแวร์ไม่ใช่เรื่องใหม่โดยกลุ่ม Lazarus ที่เชื่อมโยงกับเกาหลีเหนือเคยใช้มาก่อนหน้านี้ แต่ครั้งนี้ถือเป็นการยกระดับ เพราะ URL สำหรับมัลแวร์ระลอกสองถูกฝังอยู่ในบล็อกเชนโดยตรง ทำให้การตรวจสอบมีความซับซ้อนสูงกว่าที่เคย

ปฏิบัติการล่อลวงผ่าน GitHub

การโจมตีครั้งนี้ยังเชื่อมโยงกับแคมเปญทางสังคมเชิงวิศวกรรม (Social Engineering) ขนาดใหญ่บน GitHub โดยผู้ไม่หวังดีสร้างรีโพซิทอรีปลอมเกี่ยวกับ “บอทเทรดคริปโต” ที่ตกแต่งให้ดูน่าเชื่อถือ ทั้งการใส่ Commit ปลอม การปั้นบัญชีผู้ใช้เพื่อ Watch และ Star โปรเจกต์ การสร้าง Maintainer หลายบัญชีเพื่อทำให้เหมือนมีการพัฒนาอย่างต่อเนื่อง รวมถึงการจัดทำเอกสารและคำอธิบายที่ดูเป็นมืออาชีพ ซึ่งผลลัพธ์คือภาพการล่อลวงที่ทำให้นักพัฒนาและผู้ใช้ทั่วไปตกหลุมพราง ดาวน์โหลดแพ็กเกจที่แฝงมัลแวร์โดยไม่รู้ตัว

แพ็กเกจ NPM colortoolsv2 และ mimelib2 บน GitHub ที่มา: ReversingLabs
การโจมตีโอเพ่นซอร์ซที่ก้าวข้ามขีดจำกัดเดิม

ในปี 2567 เพียงปีเดียว นักวิจัยด้านความปลอดภัยพบแคมเปญมัลแวร์ที่เกี่ยวข้องกับคริปโตบนโอเพ่นซอร์ซถึง 23 ครั้ง แต่กรณีนี้สะท้อนการเปลี่ยนโฉม เพราะไม่เพียงอาศัยการหลอกลวงเชิงสังคม แต่ยังใช้เทคโนโลยีบล็อกเชนซ้อนทับเพื่อข้ามกลไกตรวจจับดั้งเดิม

อย่างไรก็ดีการโจมตีไม่ได้จำกัดแค่ Ethereum ตัวอย่างเช่น ในเดือนเมษายน มีการสร้างรีโพซิทอรี GitHub ปลอมที่อ้างเป็น “บอทเทรด Solana” เพื่อกระจายมัลแวร์ที่ขโมยคีย์วอลเล็ต และก่อนหน้านี้ก็มีการเจาะซอฟต์แวร์โอเพ่นซอร์ซชื่อ “Bitcoinlib” ไลบรารี Python สำหรับการพัฒนาบิทคอยน์เช่นกัน

สัญญาณเตือนยุคใหม่ในระบบไซเบอร์ที่โจมตีนักเทรดต้องระวัง

กรณีมัลแวร์ที่ฝังตัวใน Smart Contract ของ Ethereum แสดงให้เห็นชัดว่า พื้นที่โอเพ่นซอร์ซกำลังกลายเป็นสมรภูมิใหม่ที่ทั้งนักพัฒนาและองค์กรต้องระวังให้หนักขึ้น การใช้เทคโนโลยีบล็อกเชนเป็นเกราะพรางตัว กำลังทำให้แฮกเกอร์ก้าวล้ำกว่ากลไกป้องกันแบบเดิม นี่คือสัญญาณเตือนว่าภาคธุรกิจและผู้พัฒนาต้องยกระดับมาตรการตรวจสอบซอร์ซโค้ด และสร้างระบบคัดกรองที่ลึกกว่าการสแกนพื้นฐาน หากไม่เร่งปรับตัว วงการดิจิทัลอาจต้องเผชิญ “ระลอกใหม่” ของภัยไซเบอร์ที่ยากต่อการสกัดกั้นกว่าที่เคย