42/69 (IT) ประจำวันพฤหัสดีที่ 22 มกราคม 2569
นักวิจัยด้านความปลอดภัยไซเบอร์ เปิดเผยแคมเปญมัลแวร์ขโมยข้อมูลชื่อ Evelyn Stealer ที่มุ่งเป้านักพัฒนาซอฟต์แวร์ โดยแพร่กระจายผ่านส่วนขยาย (Extensions) อันตรายบน Visual Studio Code (VS Code) เมื่อเหยื่อติดตั้งส่วนขยาย ระบบจะดาวน์โหลดไฟล์ DLL และเรียกใช้งานเพย์โหลดหลักด้วยเทคนิค Process Injection ฝังตัวในโปรเซสของระบบ (grpconv.exe) เพื่อหลบเลี่ยงการตรวจจับและขโมยข้อมูลสำคัญ
มัลแวร์สามารถรวบรวมข้อมูลได้หลายประเภท เช่น รหัสผ่าน, คุกกี้จากเบราว์เซอร์ (Chrome และ Edge), กระเป๋าเงินคริปโทเคอร์เรนซี, ข้อมูลรหัสผ่าน Wi-Fi, ภาพหน้าจอ และเนื้อหาใน Clipboard ใช้เทคนิคควบคุมเบราว์เซอร์ผ่าน Command Line และตั้งค่าพารามิเตอร์เพื่อลดการรบกวน พร้อมปิดฟังก์ชันความปลอดภัยต่าง ๆ (เช่น –no-sandbox และ –disable-logging) ทำให้สามารถดึงข้อมูลเซสชันได้ จากนั้นบีบอัดข้อมูลเป็นไฟล์ ZIP และส่งไปยังเซิร์ฟเวอร์ของผู้โจมตีผ่าน FTP
นอกจาก Evelyn Stealer ยังระบุถึงมัลแวร์ขโมยข้อมูลที่พัฒนาด้วยภาษา Python อีก 2 สายพันธุ์ คือ MonetaStealer ที่สามารถโจมตีระบบ Apple macOS และ SolyxImmortal ที่เน้นการขโมยข้อมูลผ่าน Discord Webhooks สะท้อนถึงแนวโน้มภัยคุกคามที่มุ่งเป้าไปยัง เครื่องของนักพัฒนา (Developer Environments) เพื่อใช้เป็นฐานในการเจาะเข้าสู่ระบบคลาวด์และเครือข่าย องค์กรควรเพิ่มความเข้มงวดในการตรวจสอบและอนุญาตการติดตั้งส่วนขยาย Third-party และตรวจสอบสิทธิ์การเข้าถึงระบบอย่างสม่ำเสมอ
แหล่งข่าว https://thehackernews.com/2026/01/evelyn-stealer-malware-abuses-vs-code.html
