509/68 (IT) ประจำวันพฤหัสบดีที่ 4 ธันวาคม 2568
แคมเปญโจมตีซัพพลายเชน GlassWorm กลับมาเคลื่อนไหวอีกครั้ง ผ่านแพลตฟอร์ม Microsoft Visual Studio Marketplace และ Open VSX ด้วยการเผยแพร่ส่วนขยาย (Extensions) อันตรายกว่า 24 รายการ โดยปลอมแปลงเป็นเครื่องมือยอดนิยม เช่น Flutter, React, Tailwind, และ Vue เพื่อหลอกให้นักพัฒนาดาวน์โหลดไปใช้งาน
GlassWorm ถูกเปิดโปงครั้งแรกเดือนตุลาคม 2025 โดยมีความสามารถในการใช้บล็อกเชน Solana เป็นศูนย์สั่งการ (C2) ขโมยข้อมูลบัญชีจาก npm, Open VSX, GitHub และ Git รวมถึงขโมยสินทรัพย์ดิจิทัลจากกระเป๋าคริปโตของผู้ใช้งานและเปลี่ยนเครื่องนักพัฒนาเป็นโหนดสำหรับก่ออาชญากรรมไซเบอร์ จุดอันตรายสำคัญของแคมเปญนี้คือการนำข้อมูลรับรองที่ขโมยได้ไปใช้ยึดแพ็กเกจและส่วน Extentions อื่นอย่างต่อเนื่อง ส่งผลให้มัลแวร์สามารถแพร่กระจายได้ในลักษณะหนอนคอมพิวเตอร์ (Worm) แม้แพลตฟอร์มจะพยายามลบออกอย่างต่อเนื่อง แต่มัลแวร์ยังคงกลับมาได้อีกในรอบล่าสุด
การโจมตีระลอกใหม่นี้ ผู้โจมตีได้ฝังมัลแวร์ที่พัฒนาด้วยภาษา Rust ลงในส่วนขยาย ซึ่งสามารถทำงานได้ทั้งบน Windows และ macOS โดยจะดึงข้อมูลเซิร์ฟเวอร์ควบคุมจากกระเป๋าเงินบน Solana หรือใช้ Google Calendar เป็นช่องทางสำรองก่อนดาวน์โหลดเพย์โหลดขั้นถัดไป ทั้งนี้ยังพบการปลอมแปลงจำนวนยอดดาวน์โหลด เพื่อสร้างความน่าเชื่อถือและเพิ่มอันดับการค้นหา นักวิจัยเตือนนักพัฒนาอาจหลงเชื่อและเพียงแค่คลิกติดตั้งครั้งเดียวอาจนำไปสู่การถูกยึดเครื่องและรั่วไหลของข้อมูลในวงกว้าง
แหล่งข่าว https://thehackernews.com/2025/12/glassworm-returns-with-24-malicious.html
