522/68 (IT) ประจำวันจันทร์ที่ 15 ธันวาคม 2568
นักวิจัยด้านความปลอดภัยไซเบอร์ตรวจพบแคมเปญโจมตีรูปแบบใหม่ที่มุ่งเป้าไปยังกลุ่มนักพัฒนาและนักวิเคราะห์ข้อมูล โดยผู้ไม่หวังดีได้สร้าง Repository ภาษา Python บน GitHub ที่ภายนอกดูน่าเชื่อถือ โดยอ้างว่าเป็นเครื่องมือ OSINT, บอท DeFi หรือตัวช่วยใช้งาน GPT แต่แท้จริงแล้วกลับซ่อนโค้ดอันตรายเพื่อฝังมัลแวร์ชนิดใหม่ที่ชื่อว่า PyStoreRAT โดยมัลแวร์ตัวนี้ทำงานโดยใช้ JavaScript ผ่านกระบวนการระบบ mshta.exe เพื่อหลีกเลี่ยงการตรวจสอบ
ความน่ากลัวของแคมเปญนี้อยู่ที่กลยุทธ์การล่อลวงที่แนบเนียน กลุ่มแฮกเกอร์จะสร้างบัญชี GitHub และปล่อยเครื่องมือเหล่านี้ทิ้งไว้สักระยะ พร้อมทั้งปั่นยอดดาวและยอด Fork ปลอม รวมถึงโปรโมตผ่านโซเชียลมีเดียต่าง ๆ เพื่อสร้างเครดิต หลังจากนั้นจึงแอบสอดไส้โค้ดอันตรายเข้ามาในรูปแบบของการอัปเดต Maintenance ในภายหลัง นอกจากนี้ ตัวมัลแวร์ยังถูกออกแบบมาให้ตรวจสอบโปรแกรมป้องกันไวรัสในเครื่อง (เช่น CrowdStrike หรือ ReasonLabs) และสร้าง Task Scheduler ปลอมที่ชื่อเหมือนการอัปเดตของ NVIDIA เพื่อฝังตัวอยู่ในระบบอย่างถาวร
เมื่อมัลแวร์ทำงานสมบูรณ์ มันจะทำหน้าที่ขโมยข้อมูลสำคัญ โดยเฉพาะไฟล์ที่เกี่ยวข้องกับกระเป๋าเงินคริปโต (Cryptocurrency Wallets) และยังทำหน้าที่เป็น Backdoor เพื่อดาวน์โหลดมัลแวร์ขโมยข้อมูลตัวอื่น ๆ เช่น “Rhadamanthys” เข้ามาโจมตีซ้ำ อีกทั้งยังมีความสามารถในการแพร่กระจายตัวเองผ่านไดรฟ์ USB ได้อีกด้วย จากการวิเคราะห์เบื้องต้นพบร่องรอยในโค้ดที่ชี้ว่าผู้โจมตีอาจมีต้นทางมาจากแถบยุโรปตะวันออก จึงขอเตือนให้นักพัฒนาตรวจสอบโค้ดใน Repository ก่อนนำมาใช้งานเสมอ แม้ว่าโปรเจกต์นั้นจะดูน่าเชื่อถือก็ตาม
แหล่งข่าว https://thehackernews.com/2025/12/fake-osint-and-gpt-utility-github-repos.html
