xs
xsm
sm
md
lg

CZ เตือนแฮกเกอร์เกาหลีเหนือ ปลอมเป็นผู้สมัครงาน เจาะบริษัทยักษ์คริปโตทั่วโลก

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์



ฉางเผิง จ้าว “CZ” อดีตซีอีโอไบแนนซ์ ส่งสัญญาณเตือนด่วน วงการคริปโตโลกกำลังเผชิญปฏิบัติการซ่อนเร้นจากแฮกเกอร์เกาหลีเหนือ ปลอมเป็นผู้สมัครงาน-บริษัทจริง ใช้เล่ห์กลสัมภาษณ์ออนไลน์ ฝังมัลแวร์และติดสินบนพนักงาน เจาะระบบบริษัทคริปโต สูญเงินกว่า 3.5 พันล้านดอลลาร์ภายในเวลาไม่ถึง 2 ปี

อดีตซีอีโอไบแนนซ์ เผยข้อมูลชัดถึง 4 แนวทางโจมตีหลักของเครือข่ายแฮกเกอร์ ลาซารัสกรุ๊ป ได้แก่ ปลอมเป็นผู้สมัครงานสายดีเวลอปและความปลอดภัยไซเบอร์ ใช้การสัมภาษณ์ปลอมพร้อมลิงก์มัลแวร์ ล้วงข้อมูล และติดสินบนผู้ให้บริการภายนอกเพื่อเข้าถึง ระบบ ขณะที่รายงานสถิติระบุเพียงปี 2567 มีความเสียหายจากการโจมตี 47 ครั้ง มูลค่ารวมกว่า 1.3 พันล้านดอลลาร์ และเพียงครึ่งปีแรกของ 2568 ตัวเลขก็พุ่งสูงกว่า 2.2 พันล้านดอลลาร์แล้ว

"บริษัทบังหน้า-ตัวตนปลอม" เครื่องมือปฏิบัติการไซเบอร์

การสืบสวนล่าสุดพบเครือข่ายเกาหลีเหนือจัดตั้งบริษัทถูกกฎหมายในสหรัฐฯ เช่น Blocknovas LLC และ Softglide LLC ใช้ตัวตนปลอมเปิดบริษัทเพื่อเป็นฐานปฏิบัติการโจมตีโลกคริปโต งานวิจัยของ ZachXBT ยังเปิดโปงแรงงานไอทีชาวเกาหลีเหนือ 5 ราย ใช้บัญชี LinkedIn และบัตรประชาชนปลอมมากกว่า 30 ชุด สมัครงานในโปรเจกต์คริปโตระดับนานาชาติ พร้อมหลักฐานค่าใช้จ่ายจัดซื้อข้อมูลบัตรประกันสังคม บัญชีมืออาชีพ และ VPN เพื่อปกปิดสถานะที่แท้จริง

ยิ่งไปกว่านั้น เครือข่ายดังกล่าวยังพัฒนามัลแวร์ Python รุ่นใหม่ชื่อ PylangGhost แฝงในเว็บไซต์สัมภาษณ์งานปลอมเลียนแบบ Coinbase และ Robinhood เจาะข้อมูลรหัสผ่าน กระเป๋าคริปโต และส่วนขยายเบราว์เซอร์กว่า 80 รายการ

จับตาเส้นทางเงินและการฟอกคริปโต

หน่วยงานสหรัฐฯ ตรวจพบเงินกว่า 7.7 ล้านดอลลาร์ที่เชื่อมโยงกับแรงงานเถื่อนเหล่านี้ โดยใช้เทคนิคซ่อนร่องรอยขั้นสูง ทั้งการแยกธุรกรรม การสลับโทเคน และการซื้อ NFT เพื่อปกปิดต้นทาง ก่อนส่งกลับไปสนับสนุนโครงการอาวุธของเกาหลีเหนือ กรณีล่าสุดยังรวมถึงการเจาะข้อมูลบริการเอาต์ซอร์ซของอินเดีย นำไปสู่ความเสียหายกว่า 400 ล้านดอลลาร์ในสินทรัพย์ผู้ใช้งาน

กระทรวงยุติธรรมสหรัฐฯ ชี้ชัดการปฏิบัติการเชื่อมโยงกับ ซิม ฮยอน ซอบ ตัวแทนธนาคารการค้าต่างประเทศ และ คิม ซัง มัน ซีอีโอบริษัทไอที Chinyong ภายใต้กระทรวงกลาโหมเกาหลีเหนือ ซึ่งตอกย้ำความเชื่อมโยงตรงต่อรัฐ

มัลแวร์โจมตีเครือข่ายนักพัฒนาโลกคริปโต

งานวิจัยของ Cisco Talos ระบุว่า กลุ่มแฮกเกอร์ชื่อ Famous Chollima ใช้เว็บไซต์ปลอมสร้างแบบทดสอบทักษะบน React หลอกนักพัฒนาให้ดาวน์โหลด “ไดรเวอร์วิดีโอ” ที่แท้จริงคือมัลแวร์ PylangGhost เมื่อรันแล้วมัลแวร์จะปรับแต่งรีจิสทรี ฝังตัวในระบบ ควบคุมไฟล์ เปิดเชลล์ระบบ และเจาะข้อมูลจาก Password Manager ชั้นนำอย่าง 1Password และ NordPass

พร้อมกันนี้ การโจมตีห่วงโซ่อุปทานยังขยายสู่ GitHub และ NPM ผ่านโค้ด JavaScript ปลอม เช่นกรณีแคมเปญ Marstech1 ที่เล่นงานผู้ใช้กระเป๋าคริปโตมากกว่า 233 รายทั่วโลกตั้งแต่ปลายปี 2567 จนถึงต้นปี 2568

โลกคริปโตเผชิญความเสี่ยงทุกวินาที

ทั้งนี้แรงกดดันระดับนานาชาติเพิ่มขึ้นอย่างต่อเนื่อง สหรัฐฯ สหภาพยุโรป และเกาหลีใต้จับมือยกระดับความร่วมมือด้านไซเบอร์ซีเคียวริตี้ เจาะจงสกัดการโจมตีจากเกาหลีเหนือ ขณะที่ CZ เตือนชัด บริษัทคริปโตทั่วโลกต้องยกระดับการคัดกรองผู้สมัครงาน และสร้างวัฒนธรรมองค์กรที่เข้มงวดเรื่องความปลอดภัยไซเบอร์ หากไม่ต้องการตกเป็นเหยื่อรายถัดไปของสงครามเงาในโลกดิจิทัล