พบแคมเปญ PolinRider กลุ่มแฮกเกอร์ฝังแพ็กเกจและส่วนขยายอันตราย 108 รายการ พุ่งเป้านักพัฒนาซอฟต์แวร์

ยอดเข้าชม: 50 views

364/69 (IT) ประจำวันจันทร์ที่ 6 กรกฎาคม 2569

นักวิจัยด้านความมั่นคงปลอดภัยพบความเคลื่อนไหวของกลุ่มภัยคุกคามระดับรัฐ ภายใต้แคมเปญชื่อ PolinRider ซึ่งมีความเกี่ยวข้องกับปฏิบัติการ Contagious Interview โดยมีพฤติกรรมเผยแพร่แพ็กเกจและส่วนขยายเว็บเบราว์เซอร์ที่เป็นอันตรายจำนวน 108 รายการ ผ่านแพลตฟอร์มการพัฒนาโปรแกรมต่าง ๆ เช่น npm, Packagist, Go และ Google Chrome แคมเปญดังกล่าวมุ่งเป้าโจมตีนักพัฒนาซอฟต์แวร์ และบุคลากรในอุตสาหกรรมคริปโทเคอร์เรนซี มาตั้งแต่ช่วงปี 2566 ผ่านการหลอกลวงด้วยการสร้างบริษัทบังหน้าเพื่อเสนอตำแหน่งงาน และการสัมภาษณ์งานปลอม เพื่อลวงให้เหยื่อรันโค้ดอันตราย

จากการตรวจสอบเบื้องต้น พบว่าผู้ไม่ประสงค์ดีไม่ได้ใช้ข้อมูลรหัสผ่านบัญชี GitHub ที่ถูกขโมยมา แต่ใช้วิธีการเข้ายึดบัญชีผู้ดูแลระบบผ่านช่องทางอื่น เช่น การเข้าควบคุมโดเมนที่หมดอายุ จากนั้นได้ทำการฝังโค้ดอันตรายในคลังเก็บซอร์สโค้ดสาธารณะ (Repository) มากกว่า 1,951 รายการ โดยใช้วิธีพรางตัวและผสานการทำงานร่วมกับเทคนิค TaskJacker เพื่อสร้างไฟล์ Task ของ VS Code ที่จะทำงานทันที เมื่อนักพัฒนาเปิดโฟลเดอร์โปรเจกต์ นอกจากนี้มัลแวร์ยังสามารถเข้าไปแก้ไขไฟล์การตั้งค่าระบบ และปรับเปลี่ยนประวัติการแก้ไขโค้ด (Git History) เพื่อลบร่องรอยให้ดูเหมือนว่าการเปลี่ยนแปลงเหล่านั้น มาจากนักพัฒนาตัวจริง ก่อนที่ตัวมัลแวร์จะเชื่อมต่อไปยังเครือข่ายบล็อกเชน เพื่อดาวน์โหลดโปรแกรมควบคุมเครื่องและมัลแวร์ขโมยข้อมูลมาติดตั้งในขั้นตอนต่อไป

สำหรับแนวทางการป้องกันและลดความเสี่ยง ผู้ใช้งานหรือผู้ดูแลระบบที่ตรวจพบว่ามีการติดตั้งแพ็กเกจที่ได้รับผลกระทบ ควรประเมินสภาพแวดล้อมระบบว่าถูกแทรกแซงแล้ว และให้ดำเนินการเปลี่ยนรหัสผ่านรวมถึงข้อมูลความลับทางธุรกิจทั้งหมดผ่านเครื่องคอมพิวเตอร์ที่ปลอดภัยทันที นอกจากนี้ควรลบแพ็กเกจเวอร์ชันที่มีปัญหาออก แล้วทำการสร้างระบบใหม่จากไฟล์การตั้งค่าที่ได้รับการตรวจสอบแล้วว่าปลอดภัย พร้อมทั้งตรวจสอบประวัติการแก้ไขโค้ดและการทำงานของไฟล์อย่างละเอียด โดยเฉพาะในส่วนของการตั้งค่า .vscode/tasks.json รวมถึงไฟล์คอนฟิกต่าง ๆ เพื่อค้นหาและปิดกั้นการทำงานที่อาจซ่อนตัวอยู่ ซึ่งจะเป็นการช่วยป้องกันความเสียหายที่อาจเกิดขึ้นกับภาพรวมขององค์กรได้อย่างทันท่วงที

แหล่งข่าว : https://thehackernews.com/2026/07/north-korean-hackers-publish-108.html