กลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่เชื่อมโยงกับแคมเปญ ‘Contagious Interview’ ยังคงพัฒนาวิธีการโจมตีอย่างต่อเนื่อง โดยล่าสุดใช้โปรเจกต์ Microsoft Visual Studio Code (VS Code) ที่เป็นอันตรายเป็นเหยื่อล่อ เพื่อส่งมัลแวร์ Backdoor, Spyware และเครื่องมือขุดคริปโตเคอร์เรนซีไปยังระบบของนักพัฒนา การโจมตีนี้ใช้ไฟล์การกำหนดค่า Tasks ของ VS Code เพื่อเรียกใช้งานเพย์โหลดจากโดเมน Vercel โดยเฉพาะนักพัฒนาในภาคส่วนคริปโตเคอร์เรนซี, บล็อกเชน และฟินเทค ซึ่งมักมีการเข้าถึงสินทรัพย์ทางการเงินและโครงสร้างพื้นฐานที่สำคัญ เพื่อเป้าหมายในการจารกรรมทางไซเบอร์และผลประโยชน์ทางการเงินให้กับระบอบที่ถูกคว่ำบาตรอย่างหนัก
Severity: วิกฤต
System Impact:
- Microsoft Visual Studio Code (VS Code)
- ระบบปฏิบัติการ (macOS, และอาจรวมถึง Windows/Linux)
- แพลตฟอร์ม Git Repository (GitHub, GitLab, Bitbucket)
- โดเมน Vercel (สำหรับโฮสต์เพย์โหลด)
- Node.js Runtime
- สภาพแวดล้อม Python
- Integrated Development Environments (IDEs)
- สินทรัพย์ดิจิทัลและกระเป๋าเงินดิจิทัล
- เบราว์เซอร์ (สำหรับการขโมยข้อมูลรับรอง)
- ระบบภายในของบริษัท, ซอร์สโค้ด, ทรัพย์สินทางปัญญา
Technical Attack Steps:
- นักพัฒนาถูกล่อลวงด้วยข้อเสนอการประเมินงานปลอม (เช่น ผ่าน LinkedIn หรือ Notion.so)
- เหยื่อถูกสั่งให้โคลน Git Repository ที่เป็นอันตรายจากแพลตฟอร์มเช่น GitHub, GitLab, หรือ Bitbucket
- เหยื่อเปิดโปรเจกต์ใน Visual Studio Code (VS Code)
- หากเหยื่ออนุมัติ ‘Trust the repository author’ ไฟล์ `tasks.json` ที่ถูกกำหนดค่าไว้ในโปรเจกต์จะถูกประมวลผลโดยอัตโนมัติ
- คำสั่งที่เป็นอันตรายที่ฝังอยู่ใน `tasks.json` (หรือ JavaScript ที่ถูกซ่อนเป็นพจนานุกรมตรวจการสะกด) จะถูกรัน
- บนระบบ macOS ใช้คำสั่ง `nohup bash -c` ร่วมกับ `curl -s` เพื่อดึง JavaScript Payload จากระยะไกลและส่งต่อไปยัง Node.js Runtime เพื่อให้รันได้โดยอิสระและเงียบ
- JavaScript Payload (โฮสต์บน Vercel) สร้าง Persistent Execution Loop เพื่อเก็บข้อมูลพื้นฐานของโฮสต์และสื่อสารกับ Command and Control (C2) สำหรับการสั่งรันโค้ดจากระยะไกลและการสแกนระบบ
- มีการดาวน์โหลดและรันชุดคำสั่ง JavaScript เพิ่มเติม (ที่อาจสร้างโดย AI) เพื่อทำการ Beacon ไปยังเซิร์ฟเวอร์ทุก 5 วินาที รัน JavaScript เพิ่มเติม และลบร่องรอยการทำงานเมื่อได้รับสัญญาณจากผู้ควบคุม
- ในกรณีที่กลไกหลักล้มเหลว การโจมตีจะเปลี่ยนไปใช้กลไกสำรอง เช่น การติดตั้ง Malicious npm Dependency (ชื่อ ‘grayavatar’) หรือรัน Node.js Controller ที่ซับซ้อน
- Node.js Controller จะรัน 5 โมดูลที่แตกต่างกัน เพื่อบันทึกการกดแป้นพิมพ์, ถ่ายภาพหน้าจอ, สแกนไดเรกทอรี Home สำหรับไฟล์ที่ละเอียดอ่อน, แทนที่ที่อยู่กระเป๋าเงินที่คัดลอกไปยังคลิปบอร์ด, ขโมยข้อมูลรับรองจากเว็บเบราว์เซอร์ และสร้างการเชื่อมต่อถาวรไปยังเซิร์ฟเวอร์ระยะไกล
- ตั้งค่าสภาพแวดล้อม Python คู่ขนานผ่าน Stager Script เพื่อเปิดใช้งานการรวบรวมข้อมูล, การขุดคริปโตเคอร์เรนซีด้วย XMRig, Keylogging และการติดตั้ง AnyDesk สำหรับการเข้าถึงระยะไกล
Recommendations:
Short Term:
- ระมัดระวังโปรเจกต์ VS Code ที่ไม่รู้จักหรือไม่น่าเชื่อถือ โดยเฉพาะที่มาจากแหล่งภายนอกหรือผู้ติดต่อที่ไม่คุ้นเคย
- ห้ามอนุมัติ ‘Trust the repository author’ โดยไม่ตรวจสอบอย่างละเอียดเมื่อ VS Code ร้องขอ
- ตรวจสอบไฟล์ `tasks.json` ในโปรเจกต์ VS Code อย่างถี่ถ้วนก่อนเปิดและรัน โดยเฉพาะส่วนที่มีคำสั่ง `shell` หรือ `command`
- อัปเดต VS Code และส่วนขยายทั้งหมดให้เป็นเวอร์ชันล่าสุดเสมอ เพื่อแก้ไขช่องโหว่ที่ทราบแล้ว
- ใช้โซลูชัน Endpoint Detection and Response (EDR) และ Antivirus ที่ทันสมัย เพื่อตรวจจับและป้องกันมัลแวร์
- เฝ้าระวังการเชื่อมต่อเครือข่ายที่ผิดปกติไปยัง Vercel หรือโดเมนที่เกี่ยวข้องกับ C2 ที่ไม่รู้จัก
Long Term:
- ให้ความรู้แก่พนักงาน โดยเฉพาะนักพัฒนาซอฟต์แวร์เกี่ยวกับเทคนิค Social Engineering และการโจมตี Supply Chain ที่มุ่งเป้าไปที่นักพัฒนา
- ใช้หลักการ Zero Trust สำหรับการเข้าถึงทรัพยากรและระบบต่างๆ เพื่อจำกัดการเข้าถึงและลดความเสี่ยงจากการถูกบุกรุก
- กำหนดนโยบายการตรวจสอบโค้ด (Code Review) และการตรวจสอบความปลอดภัยสำหรับ Dependency ของโปรเจกต์อย่างเข้มงวด
- จำกัดสิทธิ์ (Least Privilege) สำหรับนักพัฒนาในการเข้าถึงระบบและข้อมูลที่มีความสำคัญ เพื่อลดผลกระทบหากบัญชีถูกบุกรุก
- ใช้งานการตรวจสอบสิทธิ์แบบ Multi-Factor Authentication (MFA) สำหรับทุกบัญชี โดยเฉพาะบัญชีที่เข้าถึง Git Repository และระบบสำคัญ
- มีการสำรองข้อมูลที่สำคัญและวางแผนการกู้คืนระบบ (Disaster Recovery Plan) เพื่อให้สามารถกู้คืนข้อมูลได้ในกรณีเกิดเหตุการณ์โจมตี
Source: https://thehackernews.com/2026/01/north-korea-linked-hackers-target.html
Share this content: