ข่าวนี้รายงานถึงการยกระดับการโจมตีของกลุ่มผู้ปฏิบัติการด้านไอทีที่เกี่ยวข้องกับเกาหลีเหนือ (DPRK) ซึ่งปลอมแปลงเป็นผู้เชี่ยวชาญบน LinkedIn เพื่อแทรกซึมบริษัทต่างๆ และขโมยข้อมูลลับ หรือสร้างรายได้เพื่อสนับสนุนโครงการอาวุธของรัฐบาล. พวกเขาใช้บัญชี LinkedIn ที่ถูกขโมยหรือปลอมแปลง ซึ่งมีอีเมลที่ทำงานที่ผ่านการตรวจสอบและป้ายยืนยันตัวตน เพื่อให้การสมัครงานระยะไกลดูน่าเชื่อถือ. การโจมตีรวมถึงการหลอกลวงผ่านกระบวนการจ้างงานปลอม (Contagious Interview campaign) ที่ล่อลวงเหยื่อให้รันโค้ดและติดตั้งมัลแวร์ เช่น BeaverTail, InvisibleFerret และ Koalemos RAT. นอกจากนี้ กลุ่ม Labyrinth Chollima ซึ่งเป็นกลุ่มแฮกเกอร์จากเกาหลีเหนือ ยังได้พัฒนาแยกย่อยออกเป็นสามกลุ่มย่อยที่มีเป้าหมายและกลยุทธ์เฉพาะทาง คือ Labyrinth Chollima (สอดแนม), Golden Chollima (ขโมยคริปโตขนาดเล็ก) และ Pressure Chollima (ขโมยคริปโตมูลค่าสูง).
Severity: วิกฤต (Critical)
System Impact:
- LinkedIn (ใช้เป็นช่องทางหลักในการโจมตี)
- โครงสร้างพื้นฐานขององค์กร (Corporate Infrastructure)
- บริษัทเทคโนโลยีและบริษัทสินทรัพย์ดิจิทัล
- ระบบของบริษัทในชาติตะวันตก (เช่น บริษัทในนอร์เวย์)
- กระเป๋าเงินดิจิทัล (Cryptocurrency Wallets)
- ข้อมูลประจำตัวเบราว์เซอร์ (Browser Credentials)
- ระบบควบคุมและสั่งการ (Command and Control infrastructure) ที่ใช้เทคนิค EtherHiding
- GitHub repositories (ใช้ในการติดตั้งมัลแวร์)
- Microsoft VS Code (ใช้ไฟล์งานที่เป็นอันตราย)
Technical Attack Steps:
- Impersonation: ผู้ปฏิบัติการ DPRK สร้างหรือขโมยโปรไฟล์ LinkedIn ของผู้เชี่ยวชาญจริง โดยใช้ข้อมูลที่ผ่านการตรวจสอบ เช่น อีเมลที่ทำงานและป้ายยืนยันตัวตน เพื่อสมัครงานระยะไกล
- Social Engineering (Contagious Interview): ล่อลวงเป้าหมายผ่านข้อเสนอการจ้างงานปลอมบน LinkedIn โดยปลอมเป็นผู้สรรหาและผู้จัดการฝ่ายจ้างงาน
- Malware Delivery: ชักจูงเหยื่อให้ทำแบบประเมินทักษะ หรือให้ Clone repository จาก GitHub และรันคำสั่งเพื่อติดตั้งแพ็กเกจ npm ที่เป็นอันตราย (เช่น `env-workflow-test`, `vg-dev-env`) หรือใช้ไฟล์งาน Microsoft VS Code ที่เป็นอันตรายเพื่อรันโค้ด JavaScript ที่ปลอมตัวเป็นเว็บฟอนต์
- Initial Access & Execution: เมื่อโค้ดหรือแพ็กเกจที่เป็นอันตรายถูกรัน มัลแวร์จะถูกดาวน์โหลดและทำงานบนระบบของเหยื่อ สร้างช่องทางเข้าสู่เครื่อง
- Persistence & Data Theft: มัลแวร์ เช่น BeaverTail และ InvisibleFerret ถูกติดตั้งเพื่อการเข้าถึงอย่างต่อเนื่อง และขโมยกระเป๋าเงินคริปโตเคอร์เรนซีและข้อมูลประจำตัวเบราว์เซอร์ Koalemos RAT ใช้สำหรับการจัดการไฟล์, การถ่ายโอนไฟล์, การสำรวจระบบ และการรันโค้ดตามอำเภอใจ
- Command and Control (C2): ใช้โครงสร้างพื้นฐาน C2 ที่ซ่อนอยู่ ซึ่งรวมถึงเทคนิค EtherHiding ที่ใช้ Smart Contracts บน Blockchain ทำให้ตรวจจับได้ยากขึ้น
- Financial Exploitation / Espionage: หลังจากได้รับเงินเดือน ผู้ปฏิบัติการจะโอนคริปโตเคอร์เรนซีผ่านเทคนิคฟอกเงิน เช่น Chain-hopping และ Token Swapping หรือใช้ข้อมูลที่ขโมยมาเพื่อการจารกรรมและเรียกค่าไถ่
Recommendations:
Short Term:
- บุคคลที่สงสัยว่าถูกแอบอ้างตัวตนในการสมัครงาน ควรโพสต์คำเตือนในบัญชีโซเชียลมีเดียของตน พร้อมระบุช่องทางการติดต่ออย่างเป็นทางการและวิธีการยืนยันตัวตน (เช่น อีเมลบริษัท)
- ตรวจสอบและยืนยันว่าบัญชีที่ผู้สมัครระบุบน LinkedIn เป็นเจ้าของและควบคุมโดยอีเมลที่พวกเขาให้มาจริง โดยอาจขอให้เชื่อมต่อกับคุณบน LinkedIn
- ระมัดระวังต่อข้อเสนอการจ้างงานที่ไม่คาดคิด โดยเฉพาะที่มาจากโปรไฟล์ที่ไม่รู้จักหรือไม่ได้รับการตรวจสอบอย่างถี่ถ้วน
- ไม่ควรดาวน์โหลดหรือรันไฟล์ที่ไม่รู้จักหรือแพ็กเกจซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ
Long Term:
- องค์กรควรกำหนดนโยบายและกระบวนการตรวจสอบการจ้างงานระยะไกลที่เข้มงวด รวมถึงการตรวจสอบประวัติและยืนยันตัวตนของผู้สมัครอย่างละเอียด
- ลงทุนในการฝึกอบรมพนักงานเกี่ยวกับความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ โดยเฉพาะอย่างยิ่งเกี่ยวกับการโจมตีแบบ Social Engineering และการปลอมแปลงตัวตน
- ติดตั้งและอัปเดตโซลูชันความปลอดภัย เช่น Endpoint Detection and Response (EDR), Antivirus, และ Firewall อย่างสม่ำเสมอ
- ใช้หลักการ Zero Trust (Zero Trust Architecture) ในการเข้าถึงเครือข่ายและระบบขององค์กร
- ตรวจสอบและเฝ้าระวังกิจกรรมที่ไม่ปกติบนเครือข่ายและ Endpoint อย่างต่อเนื่อง โดยเฉพาะการเข้าถึง codebase ที่ละเอียดอ่อน
- ประเมินความเสี่ยงและมาตรการป้องกันสำหรับ Supply Chain Attacks ที่อาจเกิดขึ้นจากแพ็กเกจซอฟต์แวร์ที่เป็นอันตราย (เช่น npm packages)
- ส่งเสริมให้มีการใช้ Multi-Factor Authentication (MFA) ในทุกแพลตฟอร์มสำคัญ
Source: https://thehackernews.com/2026/02/dprk-operatives-impersonate.html
Share this content: