นักวิจัยด้านความปลอดภัยไซเบอร์จาก ReversingLabs พบการโจมตีรูปแบบใหม่ที่ใช้สัญญาอัจฉริยะ (Smart Contract) ของ Ethereum ซ่อนคำสั่งอันตรายและ URL มัลแวร์ เพื่อตบตาการสแกนด้านความปลอดภัย โดยพบแพ็กเกจ NPM สองตัวที่ถูกสร้างขึ้นมาเพื่อปล่อยมัลแวร์ระลอกสอง พร้อมเชื่อมโยงกับแคมเปญลวงตาขนาดใหญ่บน GitHub ตอกย้ำเทรนด์การโจมตีโอเพ่นซอร์ซที่ยกระดับความซับซ้อนและอาศัยบล็อกเชนเป็นเครื่องมือพรางตัว
เปิดโปงมัลแวร์ในแพ็กเกจ NPM
ทีมวิจัยของ ReversingLabs ตรวจพบมัลแวร์ใหม่ในแพ็กเกจโอเพ่นซอร์ซบน Node Package Manager (NPM) ซึ่งเป็นคลังซอฟต์แวร์ JavaScript ที่ใหญ่ที่สุด โดยแพ็กเกจ “colortoolsv2” และ “mimelib2” ที่เผยแพร่ในเดือนกรกฎาคม ถูกออกแบบให้ใช้สัญญาอัจฉริยะ Ethereum เป็นที่ซ่อนคำสั่งอันตรายและ URL สำหรับดาวน์โหลดมัลแวร์ขั้นที่สองลงบนเครื่องที่ถูกเจาะ ระบบดังกล่าวทำให้การตรวจจับแทบเป็นไปไม่ได้ เนื่องจากการเรียกใช้งานบล็อกเชนดูเหมือนการทำธุรกรรมปกติ
ลักษณะการโจมตีของมัลแวร์ชุดนี้ทำหน้าที่เป็น “ดาวน์โหลดเดอร์” โดยไม่บรรจุลิงก์อันตรายตรง ๆ แต่ดึงข้อมูลที่อยู่เซิร์ฟเวอร์สั่งการ (C2) จาก Smart Contract บน Ethereum เมื่อรันแล้วจะโหลดมัลแวร์ตัวจริงที่มี Payload หรือคำสั่งโจมตีลงมา ทำให้การสแกนด้านความปลอดภัยหลงทางและตรวจจับยากขึ้น
กลยุทธ์ใหม่ ยกระดับเกมโจมตี
Lucija Valentić นักวิจัยจาก ReversingLabs อธิบายว่า การใช้สัญญาอัจฉริยะเพื่อซ่อน URL มัลแวร์เป็น “เทคนิคใหม่ที่ไม่เคยพบมาก่อน” และสะท้อนถึงการวิวัฒนาการอย่างรวดเร็วของกลยุทธ์เลี่ยงการตรวจจับ โดยแฮกเกอร์หันมาใช้โอเพ่นซอร์ซเป็นพื้นที่ล่อเหยื่อ พร้อมทั้งปรับใช้เทคนิคบล็อกเชนเพื่อทำให้โครงสร้างการโจมตียุ่งยากและตรวจจับยากขึ้น
ทั้งนี้แม้การใช้ Smart Contract เพื่อแฝงมัลแวร์ไม่ใช่เรื่องใหม่โดยกลุ่ม Lazarus ที่เชื่อมโยงกับเกาหลีเหนือเคยใช้มาก่อนหน้านี้ แต่ครั้งนี้ถือเป็นการยกระดับ เพราะ URL สำหรับมัลแวร์ระลอกสองถูกฝังอยู่ในบล็อกเชนโดยตรง ทำให้การตรวจสอบมีความซับซ้อนสูงกว่าที่เคย
ปฏิบัติการล่อลวงผ่าน GitHub
การโจมตีครั้งนี้ยังเชื่อมโยงกับแคมเปญทางสังคมเชิงวิศวกรรม (Social Engineering) ขนาดใหญ่บน GitHub โดยผู้ไม่หวังดีสร้างรีโพซิทอรีปลอมเกี่ยวกับ “บอทเทรดคริปโต” ที่ตกแต่งให้ดูน่าเชื่อถือ ทั้งการใส่ Commit ปลอม การปั้นบัญชีผู้ใช้เพื่อ Watch และ Star โปรเจกต์ การสร้าง Maintainer หลายบัญชีเพื่อทำให้เหมือนมีการพัฒนาอย่างต่อเนื่อง รวมถึงการจัดทำเอกสารและคำอธิบายที่ดูเป็นมืออาชีพ ซึ่งผลลัพธ์คือภาพการล่อลวงที่ทำให้นักพัฒนาและผู้ใช้ทั่วไปตกหลุมพราง ดาวน์โหลดแพ็กเกจที่แฝงมัลแวร์โดยไม่รู้ตัว
การโจมตีโอเพ่นซอร์ซที่ก้าวข้ามขีดจำกัดเดิม
ในปี 2567 เพียงปีเดียว นักวิจัยด้านความปลอดภัยพบแคมเปญมัลแวร์ที่เกี่ยวข้องกับคริปโตบนโอเพ่นซอร์ซถึง 23 ครั้ง แต่กรณีนี้สะท้อนการเปลี่ยนโฉม เพราะไม่เพียงอาศัยการหลอกลวงเชิงสังคม แต่ยังใช้เทคโนโลยีบล็อกเชนซ้อนทับเพื่อข้ามกลไกตรวจจับดั้งเดิม
อย่างไรก็ดีการโจมตีไม่ได้จำกัดแค่ Ethereum ตัวอย่างเช่น ในเดือนเมษายน มีการสร้างรีโพซิทอรี GitHub ปลอมที่อ้างเป็น “บอทเทรด Solana” เพื่อกระจายมัลแวร์ที่ขโมยคีย์วอลเล็ต และก่อนหน้านี้ก็มีการเจาะซอฟต์แวร์โอเพ่นซอร์ซชื่อ “Bitcoinlib” ไลบรารี Python สำหรับการพัฒนาบิทคอยน์เช่นกัน
สัญญาณเตือนยุคใหม่ในระบบไซเบอร์ที่โจมตีนักเทรดต้องระวัง
กรณีมัลแวร์ที่ฝังตัวใน Smart Contract ของ Ethereum แสดงให้เห็นชัดว่า พื้นที่โอเพ่นซอร์ซกำลังกลายเป็นสมรภูมิใหม่ที่ทั้งนักพัฒนาและองค์กรต้องระวังให้หนักขึ้น การใช้เทคโนโลยีบล็อกเชนเป็นเกราะพรางตัว กำลังทำให้แฮกเกอร์ก้าวล้ำกว่ากลไกป้องกันแบบเดิม นี่คือสัญญาณเตือนว่าภาคธุรกิจและผู้พัฒนาต้องยกระดับมาตรการตรวจสอบซอร์ซโค้ด และสร้างระบบคัดกรองที่ลึกกว่าการสแกนพื้นฐาน หากไม่เร่งปรับตัว วงการดิจิทัลอาจต้องเผชิญ “ระลอกใหม่” ของภัยไซเบอร์ที่ยากต่อการสกัดกั้นกว่าที่เคย