เตือนภัยนักพัฒนา แฮกเกอร์เกาหลีเหนือปล่อย 197 แพ็กเกจ npm อันตราย ฝังมัลแวร์ผ่านแคมเปญหลอกสัมภาษณ์งาน

เตือนภัยนักพัฒนา แฮกเกอร์เกาหลีเหนือปล่อย 197 แพ็กเกจ npm อันตราย ฝังมัลแวร์ผ่านแคมเปญหลอกสัมภาษณ์งาน
ThaiCERT ข่าวสารภัยคุกคามทางไซเบอร์
ยอดเข้าชม: 126 views

501/68 (IT) ประจำวันอังคารที่ 2 ธันวาคม 2568

ผู้เชี่ยวชาญด้านความปลอดภัยจากบริษัท Socket ได้แจ้งเตือนการตรวจพบความเคลื่อนไหวครั้งใหญ่ในแคมเปญ  Contagious Interview (การสัมภาษณ์งานที่เป็นภัยคุกคาม) ซึ่งเชื่อมโยงกับกลุ่มแฮกเกอร์ที่มีรัฐบาลเกาหลีเหนือหนุนหลัง โดยล่าสุดพบการอัปโหลดแพ็กเกจ npm อันตรายจำนวนกว่า 197 รายการเข้าสู่ระบบนิเวศของนักพัฒนา เพื่อใช้เป็นช่องทางในการกระจายมัลแวร์ตัวใหม่ที่ชื่อว่า OtterCookie เป้าหมายหลักของปฏิบัติการนี้ยังคงพุ่งเป้าไปที่นักพัฒนาซอฟต์แวร์ โดยเฉพาะกลุ่มที่ทำงานด้านคริปโทเคอร์เรนซี (Crypto), Web3 และ Blockchain บนระบบปฏิบัติการทั้ง Windows, Linux และ macOS ซึ่งปัจจุบันมียอดดาวน์โหลดแพ็กเกจอันตรายเหล่านี้ไปแล้วกว่า 31,000 ครั้ง

รูปแบบการโจมตีของกลุ่มแฮกเกอร์นี้มีความซับซ้อนและเน้นการใช้จิตวิทยา (Social Engineering) โดยแฝงตัวเป็นเจ้าหน้าที่สรรหาบุคลากร (Recruiter) บนแพลตฟอร์ม LinkedIn เพื่อติดต่อเหยื่อให้มาสัมภาษณ์งานปลอม หรือมอบหมาย แบบทดสอบก่อนเข้าทำงาน ที่ดูเหมือนโปรเจกต์ทั่วไป แต่แท้จริงแล้วมีการสอดไส้โค้ดอันตราย ตัวอย่างที่พบล่าสุดคือการสร้างแพ็กเกจเลียนแบบ (Typosquatting) เช่น tailwind-magic ซึ่งตั้งชื่อให้คล้ายกับไลบรารีอย่าง tailwind-merge เมื่อนักพัฒนาเผลอติดตั้ง แพ็กเกจดังกล่าวจะรันสคริปต์เพื่อดึง Payload จากโครงสร้างพื้นฐานที่แฮกเกอร์เตรียมไว้ ทั้งผ่าน GitHub (บัญชี stardev0914) และ Vercel เพื่อหลีกเลี่ยงการตรวจจับ ก่อนจะเชื่อมต่อกับเครื่องเซิร์ฟเวอร์ควบคุม (C2) เพื่อเริ่มกระบวนการจารกรรม    

มัลแวร์ OtterCookie ที่ถูกปล่อยลงสู่เครื่องเหยื่อนั้นมีความสามารถในระดับ Remote Access Tool (RAT) และ Infostealer แบบครบวงจร โดยมันจะตรวจสอบก่อนว่าเครื่องเหยื่อเป็นเครื่องจริงหรือเครื่องจำลอง (VM/Sandbox) หากพบว่าเป็นเครื่องเป้าหมายจริง มันจะทำการขโมยข้อมูลคลิปบอร์ด, ดักจับการพิมพ์ (Keylogging), แคปหน้าจอ, และกวาดข้อมูลรหัสผ่าน รวมถึงกระเป๋าเงินดิจิทัล (Crypto Wallets) จากส่วนขยายของเบราว์เซอร์ ทั้งนี้ รายงานจาก NVISO ยังระบุเพิ่มเติมว่า เมื่อช่วงกลางเดือนพฤศจิกายนที่ผ่านมา กลุ่มแฮกเกอร์ได้ปรับเปลี่ยนเทคนิคโดยหันมาใช้บริการ JSON storage (เช่น JSON Keeper หรือ npoint.io) ในการส่งมอบมัลแวร์ แสดงให้เห็นถึงความพยายามในการพัฒนารูปแบบการโจมตีอย่างต่อเนื่อง เพื่อเจาะระบบและขโมยทรัพย์สินดิจิทัลจากนักพัฒนาทั่วโลก

แหล่งข่าว https://securityaffairs.com/185170/apt/contagious-interview-campaign-expands-with-197-npm-ppackages-spreading-new-ottercookie-malware.html