สั่งซื้อโทรกลับ

ภัยไซเบอร์จากเกาหลีเหนือ: เมื่อการหางานกลายเป็นฝันร้ายของนักพัฒนา!

หนึ่งในประเด็นร้อนด้านความปลอดภัยไซเบอร์ที่กำลังได้รับความสนใจในตอนนี้ คือการโจมตีที่พุ่งเป้าไปยังนักพัฒนาซอฟต์แวร์และผู้ที่กำลังมองหางานในสาย IT โดยเฉพาะ

ล่าสุด นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยถึง Supply Chain Attack ครั้งใหม่ที่เชื่อมโยงกับกลุ่มแฮกเกอร์จากเกาหลีเหนือ ภายใต้ปฏิบัติการที่เรียกว่า "Contagious Interview" การโจมตีครั้งนี้ใช้ แพ็กเกจ npm ที่เป็นอันตราย จำนวนมาก เพื่อมุ่งเป้าเจาะระบบของนักพัฒนาโดยเฉพาะ

โจมตีด้วย 35 แพ็กเกจ npm ปลอม

ข้อมูลจาก Socket บริษัทวิจัยด้านความปลอดภัย ระบุว่าการโจมตีซัพพลายเชนครั้งนี้เกี่ยวข้องกับการอัปโหลดแพ็กเกจ npm ที่เป็นอันตรายถึง 35 รายการ จากบัญชี npm ปลอม 24 บัญชี และแพ็กเกจเหล่านี้ถูกดาวน์โหลดไปแล้วกว่า 4,000 ครั้ง

แพ็กเกจเหล่านี้ถูกออกแบบมาอย่างแนบเนียนเพื่อหลอกล่อนักพัฒนาให้ดาวน์โหลดและติดตั้งโดยไม่รู้ตัว โดยมีชื่อที่ดูเหมือนแพ็กเกจทั่วไป เช่น react-plaid-sdk, sumsub-node-websdk, vite-plugin-next-refresh และอื่นๆ อีกมากมาย

ปัจจุบัน ยังมี 6 แพ็กเกจที่ยังคงสามารถดาวน์โหลดได้จาก npm ได้แก่ react-plaid-sdk, sumsub-node-websdk, vite-plugin-next-refresh, vite-loader-svg, node-orm-mongoose, และ router-parse

โครงสร้างมัลแวร์ที่ซับซ้อน

แพ็กเกจ npm เหล่านี้ไม่ได้มีมัลแวร์โดยตรง แต่กลับซ่อน HexEval ซึ่งเป็นตัวโหลดโค้ดที่เข้ารหัสแบบ Hex ไว้ภายใน หน้าที่ของ HexEval คือการเก็บข้อมูลพื้นฐานของเครื่องเป้าหมายหลังการติดตั้ง และจากนั้นจะเลือกปล่อยเพย์โหลด (payload) ถัดไป ซึ่งคือ BeaverTail มัลแวร์ขโมยข้อมูล JavaScript ที่รู้จักกันดี

BeaverTail เองก็ยังซับซ้อนไปอีกขั้น โดยมันจะดาวน์โหลดและรัน InvisibleFerret ซึ่งเป็น Python backdoor ทำให้ผู้โจมตีสามารถเก็บข้อมูลที่ละเอียดอ่อนและควบคุมเครื่องที่ติดเชื้อจากระยะไกลได้

นักวิจัยจาก Socket คุณ Kirill Boychenko อธิบายว่า "โครงสร้างที่ซ้อนกันเหมือนตุ๊กตาแม่ลูกดกนี้ ช่วยให้การโจมตีเลี่ยงการสแกนแบบพื้นฐานและการตรวจสอบด้วยตนเอง" นอกจากนี้ ผู้โจมตียังมีความพร้อมในการปรับแต่งเพย์โหลด เช่น มีการพบแพ็กเกจ keylogger แบบข้ามแพลตฟอร์มที่สามารถบันทึกทุกการกดแป้นพิมพ์ ซึ่งแสดงให้เห็นถึงความมุ่งมั่นในการสอดแนมเป้าหมายอย่างลึกซึ้ง

"Contagious Interview" ปฏิบัติการต่อเนื่องของเกาหลีเหนือ

ปฏิบัติการ Contagious Interview ถูกเปิดเผยครั้งแรกโดย Palo Alto Networks Unit 42 เมื่อปลายปี 2023 โดยเป็นแคมเปญที่รัฐบาลเกาหลีเหนือให้การสนับสนุน เพื่อเจาะเข้าระบบของนักพัฒนา โดยมีเป้าหมายหลักคือการขโมยสกุลเงินดิจิทัลและข้อมูล กลุ่มแฮกเกอร์นี้ยังเป็นที่รู้จักภายใต้ชื่ออื่นๆ อีกมากมาย เช่น CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 และ Void Dokkaebi

การโจมตีในเวอร์ชันล่าสุดยังใช้เทคนิค Social Engineering ที่เรียกว่า ClickFix โดยหลอกให้เหยื่อดาวน์โหลดมัลแวร์อย่าง GolangGhost และ PylangGhost ผ่านกิจกรรมที่เรียกว่า “ClickFake Interview”

หลอกผ่านการ "สัมภาษณ์งานปลอม"

สิ่งที่ Socket ค้นพบใหม่นี้ชี้ให้เห็นถึงกลยุทธ์ที่หลากหลายของแฮกเกอร์เกาหลีเหนือ ที่ใช้หลายวิธีในการหลอกให้เป้าหมายติดตั้งมัลแวร์ โดยอาศัยสถานการณ์การสัมภาษณ์งาน หรือการประชุม Zoom ที่ดูน่าเชื่อถือ

ในการปฏิบัติการที่เกี่ยวข้องกับ npm ผู้โจมตีมักจะปลอมตัวเป็น Recruiter บน LinkedIn และส่งใบสมัครงานปลอมให้กับนักพัฒนา โดยจะแนบลิงก์ไปยังโปรเจกต์อันตรายที่โฮสต์บน GitHub หรือ Bitbucket ซึ่งฝังแพ็กเกจ npm ที่เป็นอันตรายเหล่านี้ไว้ภายใน

Boychenko กล่าวว่า "พวกเขาพุ่งเป้าไปที่วิศวกรซอฟต์แวร์ที่กำลังหางาน โดยใช้ความเชื่อใจที่ผู้สมัครงานมักมีต่อ Recruiter" เหยื่อจะถูกชักจูงให้ Clone และรันโปรเจกต์เหล่านี้ในสภาพแวดล้อมที่ไม่ใช่ Container ระหว่างกระบวนการสัมภาษณ์งานที่ถูกสร้างขึ้นมา

บทสรุปและข้อควรระวัง

แคมเปญมัลแวร์นี้เน้นย้ำถึงการพัฒนาเทคนิคการโจมตีซัพพลายเชนของเกาหลีเหนือ ที่ผสมผสานการจัดเตรียมมัลแวร์ การกำหนดเป้าหมายโดยใช้ข้อมูล OSINT และ Social Engineering เพื่อเจาะเข้าระบบของนักพัฒนาผ่านระบบนิเวศที่พวกเขาไว้วางใจ

ด้วยการฝังตัวโหลดมัลแวร์อย่าง HexEval ในโอเพนซอร์สแพ็กเกจ และส่งมอบผ่านการมอบหมายงานปลอม ผู้โจมตีสามารถเลี่ยงการป้องกันเครือข่ายและเข้าถึงระบบของนักพัฒนาเป้าหมายได้ โครงสร้างการโจมตีแบบหลายขั้นตอน การทิ้งร่องรอยให้น้อยที่สุดบน Registry และความพยายามที่จะหลบเลี่ยงสภาพแวดล้อมแบบ Container ล้วนชี้ให้เห็นถึงศัตรูที่มีทรัพยากรดีและกำลังปรับปรุงวิธีการบุกรุกแบบเรียลไทม์

สิ่งที่คุณควรทำเพื่อป้องกันตัวเอง:
  • ระมัดระวังเป็นพิเศษกับการสัมภาษณ์งานออนไลน์: โดยเฉพาะหากมีการขอให้ดาวน์โหลดและรันโค้ดจากแหล่งที่ไม่รู้จักหรือดูน่าสงสัย
  • ตรวจสอบแหล่งที่มาของแพ็กเกจ: ก่อนติดตั้งแพ็กเกจ npm หรือไลบรารีใดๆ ควรตรวจสอบความน่าเชื่อถือของบัญชีผู้เผยแพร่และรายละเอียดของแพ็กเกจให้ดี
  • ใช้สภาพแวดล้อมที่แยกต่างหาก (Isolated Environments): หากจำเป็นต้องรันโค้ดที่ไม่แน่ใจ ควรใช้ Virtual Machine (VM) หรือ Container (เช่น Docker) ที่แยกจากระบบหลัก
  • อัปเดตซอฟต์แวร์อยู่เสมอ: ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการและซอฟต์แวร์ทั้งหมดเป็นเวอร์ชันล่าสุดและได้รับการแพตช์ช่องโหว่แล้ว
  • ฝึกฝนเรื่อง Social Engineering Awareness: ทำความเข้าใจกับวิธีการหลอกล่อต่างๆ ที่แฮกเกอร์ใช้ เพื่อไม่ให้ตกเป็นเหยื่อ

การโจมตีครั้งนี้เป็นเครื่องเตือนใจว่า แม้แต่นักพัฒนาที่มีความรู้ด้านเทคนิคก็สามารถตกเป็นเป้าหมายได้ โดยเฉพาะเมื่อถูกโจมตีทางจิตวิทยาและใช้ความต้องการในการหางานมาเป็นช่องโหว่