นักพัฒนา Crypto ตกเป็นเป้าหมายของมัลแวร์ Python ที่ปลอมตัวมาเป็นความท้าทายในการเขียนโค้ด
นักพัฒนา Crypto ตกเป็นเป้าหมายของมัลแวร์ Python ที่ปลอมตัวมาเป็นความท้าทายในการเขียนโค้ด
แคมเปญโจมตีเชิงเป้าหมายที่มุ่งไปยังนักพัฒนาคริปโต โดยมีเป้าหมายคือขโมยข้อมูลและสิทธิ์เข้าถึงระบบผ่านมาลแวร์ที่ปิดบังในรูปแบบของข้อสอบทางการเขียนโค้ด
กลุ่มแฮกเกอร์ที่มีความเชื่อมโยงกับเกาหลีเหนือ ซึ่งรู้จักกันในนาม Slow Pisces (หรือ Jade Sleet, TraderTraitor, และ UNC4899) ใช้ LinkedIn เป็นเวทีหลักในการติดต่อกับนักพัฒนาคริปโตโดยปลอมตัวเป็นนายจ้างหรือผู้ว่าจ้างงาน ส่งเอกสาร PDF ที่อธิบายรายละเอียดงานทดสอบการเขียนโค้ดให้กับเป้าหมาย จากนั้นจึงชักชวนให้นักพัฒนาดาวน์โหลดโปรเจ็กต์ Python จาก GitHub ซึ่งโปรเจ็กต์นี้ถูกดัดแปลงให้ทำงานในลักษณะมาลแวร์
โปรเจ็กต์ Python ที่ดูเหมือนเป็นเครื่องมือสำหรับตรวจสอบหรือแสดงราคาสกุลเงินดิจิทัล กลับซ่อนกลไกที่เมื่อรันแล้วจะติดต่อไปยังเซิร์ฟเวอร์ของผู้โจมตีเพื่อให้ดาวน์โหลดเฟสที่สองของมาลแวร์ กล่าวคือ ในขั้นตอนแรก RN Loader จะถูกติดตั้งบนเครื่องผู้ใช้ จากนั้น RN Loader จะดึง RN Stealer ซึ่งเป็นโปรแกรมขโมยข้อมูลที่สามารถรวบรวมข้อมูลสำคัญจากเครื่อง เช่น รายละเอียดระบบ, แอปพลิเคชันที่ติดตั้ง, โครงสร้างโฟลเดอร์ในโฮมไดเรกทอรี, คีย์ของ iCloud, คีย์ SSH รวมไปถึงไฟล์การตั้งค่าสำหรับ AWS, Kubernetes และ Google Cloud
กลุ่มโจมตีใช้เทคนิคที่พิเศษในการหลีกเลี่ยงการตรวจจับ โดยหลีกเลี่ยงการใช้ฟังก์ชันที่ดูน่าสงสัยอย่าง eval หรือ exec และแทนที่ด้วยการใช้งาน YAML deserialization ในการรันโค้ดเปลี่ยนแปลง ผู้โจมตียังคัดเลือกเป้าหมายอย่างเคร่งครัด โดยส่งมาลแวร์ให้กับเฉพาะเป้าหมายที่ผ่านการตรวจสอบคุณสมบัติต่าง ๆ เช่น IP address, สถานที่ตั้ง, เวลาติดต่อ และ HTTP headers เท่านั้น
นอกจากการโจมตีต่อนักพัฒนาด้าน Python แล้ว ยังมีแนวทางคล้ายกันที่มุ่งไปยังผู้สมัครงานในตำแหน่ง JavaScript โดยชักชวนให้นักพัฒนาดาวน์โหลดโปรเจ็กต์ “Cryptocurrency Dashboard” ที่มีรูปแบบการทำงานคล้ายกัน ทำให้กระบวนการโจมตีมีลักษณะเป็นหลายชั้นและซับซ้อน การโจมตีเฉพาะเป้าหมายในลักษณะนี้ช่วยให้ผู้โจมตีสามารถควบคุมและปล่อย payload ได้อย่างมีประสิทธิภาพโดยลดโอกาสในการตรวจจับ
คำเตือนสำหรับนักพัฒนาในภาคคริปโตให้คำนึงถึงความระมัดระวังในการตอบรับข้อเสนอหรือคำเชิญที่มาจากแหล่งที่ไม่แน่นอน โดยเฉพาะเมื่อมีการดาวน์โหลดและรันโปรเจ็กต์จาก GitHub ควรตรวจสอบความน่าเชื่อถืออย่างละเอียดเพื่อป้องกันการติดมาลแวร์และการขโมยข้อมูลที่อาจส่งผลกระทบต่อความปลอดภัยของระบบในอนาคต
ที่มา: thehackernews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
CISA ระบุช่องโหว่ที่ถูกใช้ประโยชน์อย่างแข็งขันในอุปกรณ์ SMA ของ SonicWall
41% ของการโจมตีเลี่ยงการป้องกัน: การตรวจสอบการเปิดเผยการต่อต้านแก้ไขปัญหานั้น
Chrome 136 แก้ไขความเสี่ยงต่อความเป็นส่วนตัวของประวัติการใช้งานเบราว์เซอร์ 20 ปี
MITRE เตือนว่าโครงการ CVE อาจเกิดการหยุดชะงักท่ามกลางความไม่แน่นอนด้านเงินทุนของสหรัฐฯ
เหตุใดผู้นำด้านความปลอดภัย 78% จึงคิดทบทวนกลยุทธ์ทางไซเบอร์ทั้งหมดใหม่ในปี 2025
