290/69 (IT) ประจำวันพฤหัสบดีที่ 28 พฤษภาคม 2569
มีรายงานว่า เมื่อวันที่ 26 พฤษภาคม 2569 ทีม CrowdStrike Counter Adversary Operations ได้ร่วมกับ Google และ Shadowserver Foundation ดำเนินการปิดช่องทาง Command-and-Control หรือ C2 ทั้ง 4 ช่องทางของ Glassworm Botnet พร้อมกัน เพื่อหยุดการสื่อสารระหว่างมัลแวร์กับโครงสร้างพื้นฐานของผู้โจมตี โดย Glassworm เป็นแคมเปญที่มุ่งเป้าไปยังนักพัฒนาซอฟต์แวร์มาตั้งแต่ช่วงต้นปี 2568 ผ่านเครื่องมือและแพ็กเกจที่ถูกฝังโค้ดอันตราย เนื่องจากนักพัฒนามักมีสิทธิ์เข้าถึงซอร์สโค้ด Cloud Credential ระบบ CI/CD และ Package Registry ซึ่งหากถูกบุกรุก อาจส่งผลกระทบต่อซอฟต์แวร์และองค์กรปลายทางจำนวนมาก
จากรายงานพบว่า ผู้โจมตีใช้หลายช่องทางในการแพร่กระจายมัลแวร์ ได้แก่ ส่วนขยายปลอมบน OpenVSX ที่เลียนแบบ เช่น WakaTime และเครื่องมือจัดรูปแบบโค้ด โดยมุ่งเป้าไปยัง VS Code รวมถึง IDE อื่น เช่น Cursor, Windsurf และ VSCodium นอกจากนี้ยังใช้แพ็กเกจอันตรายบน npm และ Python ที่สามารถรันโค้ดอันตรายระหว่างการติดตั้ง Dependency รวมถึงฝังโค้ดอันตรายใน GitHub Repository มากกว่า 300 รายการ โดยอาศัย Credential ของนักพัฒนาที่ถูกขโมยก่อนหน้า ทั้งนี้ โครงสร้าง C2 ของ Glassworm ถูกออกแบบให้ทนต่อการถูกปิดกั้น โดยใช้ทั้ง Solana Blockchain, BitTorrent Distributed Hash Table, Google Calendar และเซิร์ฟเวอร์ VPS เพื่อซ่อนตำแหน่งและเส้นทางไปยังเซิร์ฟเวอร์ควบคุมจริง
มัลแวร์หลักของแคมเปญนี้มีชื่อว่า GlasswormRAT เป็น Remote Access Tool ที่พัฒนาด้วย Node.js มีความสามารถในการขโมย Credential ของ npm, GitHub และ Git ขโมยเงินจาก Cryptocurrency Wallet Extension ติดตั้ง SOCKS Proxy และ Hidden VNC เพื่อเข้าถึงเครื่องเหยื่ออย่างต่อเนื่อง รวมถึงซ่อนโค้ดด้วยเทคนิค Unicode Variation Selectors เพื่อทำให้โค้ดอันตรายมองไม่เห็นในโปรแกรมแก้ไขโค้ดทั่วไป ทั้งนี้ CrowdStrike ได้เปลี่ยนเส้นทางเครื่องที่ติดเชื้อให้เชื่อมต่อไปยัง IP ที่ปลอดภัยภายใต้การควบคุมของบริษัท คือ 164.92.88[.]210 หากองค์กรพบการเชื่อมต่อไปยัง IP ดังกล่าวใน Log เครือข่าย ควรตรวจสอบและดำเนินการแก้ไขทันที พร้อมใช้ YARA Rules และ Indicators of Compromise ที่นักวิจัยเผยแพร่เพื่อยืนยันและลดความเสี่ยงจากการโจมตีแบบ Supply Chain ต่อไป