ที่มาภาพ: The Register
กลุ่มฟิชชิงส่งอีเมลรับสมัครงานปลอม 250 ฉบับ ลักข้อมูลส่วน…
⚡ สรุป 30 วิ
กลุ่มฟิชชิงที่เชื่อมโยงกับเกาหลีเหนือส่งอีเมลรับสมัครงานปลอมกว่า 250 ฉบับให้กับนักพัฒนาในราว 100 องค์กรระหว่างเดือนเมษายน‑พฤษภาคมที่ผ่านมา มัลแวร์ในรีโพสิต…
Lead – นักวิจัยด้านความปลอดภัยของ Proofpoint เปิดเผยว่ากลุ่มฟิชชิงที่คาดว่าเชื่อมโยงกับเกาหลีเหนือได้ส่งอีเมลปลอมจำนวน กว่า 250 ฉบับ ไปยังผู้พัฒนาและนายจ้างในราว 100 องค์กร** ระหว่างเดือนเมษายน‑พฤษภาคมนี้ เพื่อแอบอ้างรับสมัครงานและขโมยข้อมูลประจำตัวและกระเป๋าเงินคริปโตเคอร์เรนซี เหตุการณ์นี้เป็นการขยายรูปแบบการโจมตีที่เคยใช้ “Contagious Interview” มาก่อน แต่เปลี่ยนกลยุทธ์เป็นอีเมลสมัครงานโดยตรงและลิงก์ไปยังรีโพสิตอรี GitHub ที่มีมาลแวร์หลายแพลตฟอร์ม
Overview
แคมเปญที่ได้รับชื่อว่า UNK_DeadDrop นี้ถูกตรวจพบโดยทีมวิจัยของ Proofpoint หลังจากสังเกตการส่งอีเมลจำนวนมากที่อ้างว่าเป็นการเสนองานพัฒนา “Full‑Stack Engineer” หรือ “Agent Lead Developer” ให้กับผู้รับเป้าหมายในอุตสาหกรรมเทคโนโลยี การโจมตีเริ่มต้นจากอีเมลที่ดูเหมือนมาจากบริษัทจริงหลายแห่ง ซึ่งต่อมาจะนำผู้รับไปยังรีโพสิตอรี GitHub ที่แฝงสคริปต์อันตรายไว้
โดยเทคนิคนี้แตกต่างจากแคมเปญ “Contagious Interview” ที่ใช้ LinkedIn เป็นช่องทางหลักและเน้นการจัดสัมภาษณ์ปลอม UNK_DeadDrop ใช้อีเมลเป็นจุดเริ่มต้น เพิ่มปริมาณและอัตโนมัติของการส่งอีเมล รวมถึงการสร้างรีโพสิตอรีใหม่อย่างต่อเนื่อง ทำให้เป็นคลัสเตอร์อิสระที่ต้องได้รับการติดตามแยกจากแคมเปญก่อนหน้า
Key Details
อีเมลปลอมเหล่านี้อ้างว่าได้รับการส่งจากบริษัทที่มีชื่อเสียงในหลากหลายภาคส่วน ทั้งการเงิน, การดูแลสุขภาพ, และเทคโนโลยี บางบริษัทที่ถูกอ้างอิงได้แก่:
- Ondo Finance – แพลตฟอร์ม DeFi
- Empower Pharmacy – บริษัทเภสัชกรรม
- NXLog – โซลูชันการเก็บบันทึกข้อมูล
- OnePlan – ระบบการจัดการโครงการเชิงกลยุทธ์
- Hypen Connect – เอเจนซี่ด้าน Web3 และ AI
- Valon – ผู้ให้บริการสินเชื่อจำนอง
- Nourish – บริษัทเทเลเฮลท์
อีเมลเหล่านี้มักแนบลิงก์ไปยังรีโพสิตอรีบน GitHub ที่ปลอมเป็น “coding assignment” หรือโครงการเกี่ยวกับคริปโตเคอร์เรนซี ผู้รับจึงถูกชักชวนให้ทำการ clone รีโพสิตและเปิดในเครื่องมือพัฒนาเช่น VS Code หรือ Cursor
Technical Mechanics
เมื่อผู้ใช้เปิดโฟลเดอร์รีโพสิตใน IDE มัลแวร์จะทำงานโดยอัตโนมัติผ่าน task ที่กำหนดไว้ล่วงหน้า ซึ่งจะเรียกโหลดเดอร์ที่ถอดรหัส payload เฉพาะแพลตฟอร์ม สำหรับ macOS และ Linux จะติดตั้ง VSIX extension ที่ปลอมเป็นบริการของ Google และทำงานทุกครั้งที่เปิด VS Code ทำให้มัลแวร์สามารถทำงานต่อเนื่องได้ในระบบเหล่านั้น ส่วน Windows จะทำงานผ่าน Node.js pipeline ภายในกระบวนการ Electron ของ IDE
บน Linux และ macOS มัลแวร์ใช้ Overlord C2 framework – เครื่องมือ red‑team ที่เปิดให้ใช้ได้อย่างอิสระ – พร้อมโมดูลที่พัฒนาขึ้นโดยกลุ่มโจมตี ได้แก่ browserlogin (ขโมยข้อมูลล็อกอินของ Chrome/Firefox), companywallet (ขโมยกระเป๋าเงินคริปโต) และ cleanup (ลบหลักฐาน) ข้อมูลที่ขโมยได้รวมถึงไฟล์โปรไฟล์ของเบราว์เซอร์, คีย์ของ Chrome Safe Storage, และข้อมูลจาก Keychain ของ macOS
Impact & Risks
การโจมตีนี้มีเป้าหมายหลักที่ นักพัฒนา ซึ่งมักมีสิทธิ์เข้าถึงระบบภายในองค์กรและข้อมูลสำคัญ การขโมยข้อมูลล็อกอินและกระเป๋าเงินอาจทำให้ผู้โจมตีเข้าถึงระบบการเงินของบริษัทหรือโครงการบล็อกเชนที่กำลังพัฒนา ผลกระทบที่อาจเกิดขึ้นได้แก่ การสูญเสียสินทรัพย์ดิจิทัล, ความเสียหายต่อชื่อเสียงขององค์กรที่ข้อมูลของพนักงานรั่วไหล, และการเปิดช่องทางใหม่ให้กับการโจมตีต่อเนื่องในระบบเครือข่าย
สำหรับองค์กรที่ใช้ VS Code หรือ IDE ที่คล้ายคลึง ควรตรวจสอบการติดตั้งส่วนขยายทั้งหมดและยกเลิกส่วนขยายที่ไม่รู้จักโดยทันที นอกจากนี้ การบังคับให้พนักงานยืนยันแหล่งที่มาของรีโพสิต GitHub ก่อนทำการ clone และการใช้ระบบตรวจจับพฤติกรรมของไฟล์ที่รันบนเครื่องพัฒนาก็เป็นมาตรการป้องกันที่สำคัญ
Analysis
การเปลี่ยนแปลงจากการใช้ LinkedIn ไปเป็นอีเมลโดยตรงแสดงให้เห็นว่ากลุ่มผู้โจมตีกำลัง อุตสาหกรรมการส่งอีเมล ให้เป็นระดับอัตโนมัติและเพิ่มประสิทธิภาพการเข้าถึงเป้าหมาย การสร้างรีโพสิตอรีหลายสิบอันในเวลาอันสั้นบ่งบอกถึงความพร้อมของโครงสร้างพื้นฐานที่ครอบคลุมหลายเซิร์ฟเวอร์ C2
การใช้ Overlord – เครื่องมือที่ออกแบบมาสำหรับการทดสอบระบบโดยผู้เชี่ยวชาญ – แสดงให้เห็นว่ากลุ่มนี้มีความรู้เชิงลึกด้าน การพัฒนามัลแวร์ และสามารถดัดแปลงเครื่องมือโอเพ่นซอร์สให้เหมาะกับการขโมยข้อมูลเฉพาะทาง โดยเฉพาะโมดูล browserlogin และ companywallet ที่มุ่งเน้นการขโมยข้อมูลจากเว็บเบราว์เซอร์และกระเป๋าเงินดิจิทัล
จากมุมมองของการป้องกัน การตรวจสอบลิงก์ที่มาจากอีเมลที่อ้างว่าเป็นการเสนองานควรเป็นขั้นตอนพื้นฐานของทุกองค์กร การฝึกอบรมให้พนักงานรับรู้ถึงเทคนิคฟิชชิงแบบ “fake job offer” จะช่วยลดความเสี่ยงจากการคลิกและทำตามขั้นตอนที่อันตรายได้อย่างมีนัยสำคัญ
Summary
UNK_DeadDrop แสดงให้เห็นการขยายรูปแบบฟิชชิงของกลุ่มที่เชื่อมโยงกับเกาหลีเหนือจากการจัดสัมภาษณ์ปลอมไปสู่การเสนองานพัฒนาโดยอีเมล และใช้มัลแวร์ที่ทำงานข้ามแพลตฟอร์มเพื่อขโมยข้อมูลลับและคริปโตเคอร์เรนซี องค์กรควรเร่งตรวจสอบส่วนขยายของ IDE และเสริมการฝึกอบรมความปลอดภัยเพื่อป้องกันการโจมตีในลักษณะนี้.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Norks blast 250+ fake job offers to developers over 6 weeks to try and snarf creds and crypto
- ผู้เขียน
- Unknown
- แหล่ง
- The Register
- วันที่เผยแพร่
- 9 มิถุนายน 2569 เวลา 05:13
