444/68 (IT) ประจำวันพุธที่ 5 พฤศจิกายน 2568
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ออกมาเตือนถึงส่วนขยาย (Extension) อันตรายตัวใหม่ใน Open VSX registry ที่มีชื่อว่า “SleepyDuck” โดยส่วนขยายดังกล่าวใช้ชื่อ juan-bianco.solidity-vlang (เวอร์ชัน 0.0.8) แอบแฝงโทรจันเพื่อการเข้าถึงระยะไกล (Remote Access Trojan) ซึ่งจากข้อมูลของ Secure Annex พบว่าส่วนขยายนี้ถูกเผยแพร่ครั้งแรกในเวอร์ชัน 0.0.7 เมื่อวันที่ 31 ตุลาคม 2025 โดยเป็นไลบรารีที่ดูปกติไม่มีพิษภัย แต่หลังจากมียอดดาวน์โหลดถึง 14,000 ครั้ง ผู้โจมตีก็ได้อัปเดตเป็นเวอร์ชัน 0.0.8 ในวันที่ 1 พฤศจิกายน เพื่อเพิ่มความสามารถที่เป็นอันตรายเข้ามา ความน่ากลัวของมัลแวร์ตัวนี้คือเทคนิคการหลบเลี่ยงการตรวจจับ และที่สำคัญคือการใช้ Ethereum contract เพื่ออัปเดตที่อยู่ของเซิร์ฟเวอร์สั่งการ (C2) ซึ่งหมายความว่าแม้เซิร์ฟเวอร์เดิมจะถูกปิดกั้น ผู้โจมตีก็เพียงแค่ไปอัปเดตที่อยู่เซิร์ฟเวอร์ใหม่บนบล็อกเชน มัลแวร์ก็จะสามารถเชื่อมต่อไปยังเซิร์ฟเวอร์ใหม่ได้อัตโนมัติ
เป้าหมายหลักของแคมเปญนี้คือนักพัฒนาที่เขียน Solidity (ภาษาที่ใช้พัฒนาในโลกคริปโตเคอร์เรนซี) ซึ่งไม่ใช่ครั้งแรกที่มีการโจมตีลักษณะนี้ โดยในเดือนกรกฎาคม 2025 ที่ผ่านมา Kaspersky เคยรายงานว่ามีนักพัฒนาชาวรัสเซียสูญเสียสินทรัพย์คริปโตมูลค่าประมาณ 17 ล้านบาท จากการติดตั้งส่วนขยายลักษณะเดียวกัน นอกจากนี้ ในเวลาไล่เลี่ยกัน ยังมีการตรวจพบส่วนขยายอันตรายอีก 5 ตัว บน VS Code Extension Marketplace (คนละแห่งกับ Open VSX) ซึ่งเผยแพร่โดยผู้ใช้ชื่อ “developmentinc” ซึ่งส่วนขยายกลุ่มนี้จะดาวน์โหลดสคริปต์เพื่อแอบขุดเหรียญ Monero โดยใช้ PowerShell ยกระดับสิทธิ์ผู้ดูแลระบบ และที่ร้ายกาจคือการสั่งปิดการทำงานของ Microsoft Defender Antivirus ในทุกไดรฟ์
ในเชิงวิเคราะห์ ยอดดาวน์โหลด 14,000 ครั้งของ “SleepyDuck” อาจเป็นยอดที่ผู้โจมตีปั่นตัวเลขขึ้นมาเองเพื่อสร้างความน่าเชื่อถือและเพิ่มอันดับในการค้นหา เพื่อหลอกให้นักพัฒนาหลงเชื่อและติดตั้ง และส่วนขยายทั้ง 5 ตัวที่แอบขุดเหรียญนั้นได้ถูกถอดออกจาก Marketplace ไปแล้ว แต่เหตุการณ์นี้เป็นเครื่องย้ำเตือนให้นักพัฒนาต้องใช้ความระมัดระวังอย่างสูงในการดาวน์โหลดส่วนขยายใด ๆ และควรตรวจสอบให้แน่ใจว่ามาจากผู้เผยแพร่ (Publisher) ที่เชื่อถือได้เท่านั้น ทั้งนี้ ทาง Microsoft เองก็ได้ประกาศจะเพิ่มความเข้มงวดด้วยการสแกนส่วนขยายใน Marketplace อย่างสม่ำเสมอและแสดงรายการส่วนขยายที่ถูกถอดออกบน GitHub เพื่อความโปร่งใส
แหล่งข่าว https://thehackernews.com/2025/11/malicious-vsx-extension-sleepyduck-uses.html
