455/68 (IT) ประจำวันจันทร์ที่ 10 พฤศจิกายน 2568
นักวิจัยด้านความปลอดภัยเปิดเผย แคมเปญมัลแวร์ GlassWorm กลับมาระบาดอีกครั้งบนแพลตฟอร์ม OpenVSX หลังจากถูกตรวจพบเมื่อเดือนก่อน ซึ่งครั้งนี้แฝงตัวอยู่ในส่วนขยาย Visual Studio Code (VSCode) จำนวน 3 รายการ ได้แก่ ai-driven-dev.ai-driven-dev, adhamu.history-in-sublime-merge และ yasuyuky.transient-emacs ซึ่งมียอดดาวน์โหลดรวมกว่า 10,000 ครั้ง มัลแวร์ดังกล่าวใช้ธุรกรรมบนบล็อกเชน Solana เพื่อดึงเพย์โหลดที่มุ่งขโมยข้อมูลบัญชีจาก GitHub, NPM, OpenVSX และกระเป๋าคริปโทเคอร์เรนซี โดยใช้เทคนิคซ่อนโค้ดอันตรายในอักขระ Unicode ที่ไม่มีการแสดงผลบนหน้าจอ เพื่อให้โค้ด JavaScript ทำงานโดยไม่ถูกตรวจจับ
GlassWorm ถูกตรวจพบครั้งแรกผ่านส่วนขยาย 12 รายการบน VSCode Marketplace และ OpenVSX มียอดดาวน์โหลดรวมกว่า 35,000 ครั้ง โดยผู้เชี่ยวชาญเชื่อว่าผู้โจมตีอาจปลอมจำนวนดาวน์โหลดเพื่อสร้างความน่าเชื่อถือ หลังเหตุการณ์นั้น OpenVSX ได้รีเซ็ตโทเคนของบัญชีที่ได้รับผลกระทบและเสริมมาตรการความปลอดภัย แต่ผู้โจมตียังคงใช้โครงสร้างพื้นฐานเดิม พร้อมอัปเดตเซิร์ฟเวอร์ควบคุม (C2) และธุรกรรม Solana เพื่อหลบเลี่ยงการตรวจจับ ขณะที่เทคนิคการซ่อนโค้ดยังคงใช้รูปแบบเดียวกับเวอร์ชันก่อน ซึ่งยังสามารถหลีกเลี่ยงระบบป้องกันของ OpenVSX ได้สำเร็จ
Koi Security ระบุว่าจากข้อมูลที่ได้จากเซิร์ฟเวอร์ของผู้โจมตี แคมเปญนี้มีเหยื่อกระจายอยู่ทั่วโลก ทั้งในสหรัฐอเมริกา อเมริกาใต้ ยุโรป เอเชีย และหน่วยงานรัฐในตะวันออกกลาง โดยพบว่ากลุ่มผู้โจมตีสื่อสารด้วยภาษารัสเซียและใช้เฟรมเวิร์กโอเพ่นซอร์สชื่อ RedExt สำหรับควบคุมเซิร์ฟเวอร์ C2 นักวิจัยได้ส่งข้อมูลที่เกี่ยวข้องให้หน่วยงานบังคับใช้กฎหมาย รวมถึงบัญชีที่เชื่อมโยงกับเว็บแลกเปลี่ยนคริปโทและแพลตฟอร์มสื่อสารแล้ว อย่างไรก็ตาม ส่วนขยายทั้งสามรายการยังคงเปิดให้ดาวน์โหลดได้บน OpenVSX ขณะที่รอการถอดถอนอย่างเป็นทางการ
