359/68 (IT) ประจำวันอังคารที่ 23 กันยายน 2568
นักวิจัยด้านความปลอดภัยพบกลุ่มแฮกเกอร์เกาหลีเหนือ (DPRK) ใช้เทคนิค ClickFix หลอกเหยื่อผู้สมัครงานด้านการตลาดและคริปโตเพื่อติดตั้งมัลแวร์ BeaverTail และ InvisibleFerret แคมเปญนี้เป็นส่วนหนึ่งของปฏิบัติการ Contagious Interview (Gwisin Gang) ภายใต้กลุ่ม Lazarus ซึ่งเริ่มเมื่อธันวาคม 2022 โดย BeaverTail ถูกแพร่กระจายผ่าน npm packages ปลอมและแอปประชุมปลอม ก่อนพัฒนาเป็นไฟล์ไบนารีคอมไพล์สำหรับ Windows, macOS และ Linux ผ่านเครื่องมือ เช่น pkg และ PyInstaller
แคมเปญนี้มุ่งเป้าไปที่ผู้สมัครงานด้านการตลาดและเทรดเดอร์คริปโต ผ่านเว็บไซต์ที่หลอกให้เหยื่อบันทึกวิดีโอประเมินตนเอง จากนั้นจะแสดงข้อผิดพลาดเกี่ยวกับไมโครโฟน เพื่อให้เหยื่อรันคำสั่งตามระบบปฏิบัติการ นำไปสู่การติดตั้ง BeaverTail เวอร์ชันใหม่ที่เน้นขโมยข้อมูลจาก Google Chrome และส่วนขยายเบราว์เซอร์บางตัว นอกจากนี้ยังใช้ไฟล์บีบอัดที่ป้องกันด้วยรหัสผ่านเพื่อติดตั้งโมดูล Python ของ InvisibleFerret นับเป็นครั้งแรกที่มีการนำเทคนิคนี้มาใช้กับ BeaverTail
นักวิจัยจาก GitLab, SentinelOne ระบุว่าการโจมตีลักษณะนี้เป็นการปรับกลยุทธ์ จากเดิมมุ่งเป้าหมายที่นักพัฒนาซอฟต์แวร์สู่กลุ่มที่มีความเชี่ยวชาญทางเทคนิคน้อยกว่า เช่น นักการตลาดและเทรดเดอร์ โดยอาศัย ClickFix และโครงสร้างพื้นฐานใหม่ที่สามารถสลับเปลี่ยนได้เมื่อถูกปิดกั้น นอกจากนี้ยังพบความเชื่อมโยงกับปฏิบัติการของกลุ่ม DPRK อื่น ๆ เช่น ScarCruft (APT37) และ Kimsuky (APT43) ที่เปลี่ยนมาใช้เครื่องมือและวิธีการที่ซับซ้อนขึ้น ทั้งมัลแวร์ที่พัฒนาด้วยภาษา Rust, เครื่องมือสอดแนม หรือแม้แต่การสร้างบัตรประจำตัวทหารปลอมด้วย AI เพื่อเข้าถึงข้อมูลหน่วยงานด้านความมั่นคงในเกาหลีใต้ สะท้อนถึงการพัฒนายุทธวิธีของเกาหลีเหนือที่หลากหลายและซับซ้อนขึ้น
แหล่งข่าว https://thehackernews.com/2025/09/dprk-hackers-use-clickfix-to-deliver.html
