What Should We Learn From How Attackers Leveraged AI in 2025?

บทความนี้วิเคราะห์ว่าในปี 2025 ผู้โจมตีไม่ได้ใช้ภัยคุกคามรูปแบบใหม่ แต่ใช้ AI และระบบอัตโนมัติในการขยายขนาดการโจมตีด้วยกลวิธีเดิม ๆ ที่ได้รับการพิสูจน์แล้วว่ามีประสิทธิภาพ เช่น การโจมตีซัพพลายเชน, ฟิชชิ่ง, และการเผยแพร่มัลแวร์ผ่านร้านค้าทางการ โดยเน้นย้ำว่าผู้ป้องกันควรให้ความสำคัญกับการแก้ไขจุดอ่อนด้านความปลอดภัยพื้นฐาน แทนที่จะไล่ตามกลยุทธ์การป้องกันที่ ‘ล้ำสมัย’ เพียงอย่างเดียว

Severity: สูง

System Impact:

• ซัพพลายเชนซอฟต์แวร์ (โดยเฉพาะแพ็กเกจ NPM และโครงสร้าง dependency)
• บัญชีนักพัฒนาซอฟต์แวร์ (ผ่านการโจมตีฟิชชิ่ง)
• ร้านค้าแอปพลิเคชันอย่างเป็นทางการ (เช่น Chrome Web Store และ App Store บนมือถือ)
• ส่วนเสริมของเบราว์เซอร์ (เช่น Chrome extensions)
• ผู้ใช้งาน (เป็นจุดอ่อนที่ง่ายที่สุดในการโจมตีฟิชชิ่ง)

Technical Attack Steps:

1. ผู้โจมตีใช้ AI ในการระบุและใช้ประโยชน์จากช่องโหว่ในซัพพลายเชนได้อย่างมีประสิทธิภาพมากขึ้น
2. แพ็กเกจซอฟต์แวร์ที่ถูกบุกรุกหนึ่งรายการสามารถแพร่กระจายผ่าน dependency tree ไปยังโปรเจกต์ดาวน์สตรีมหลายพันรายการ
3. ผู้โจมตีใช้กลยุทธ์ระยะยาว โดยเผยแพร่แพ็กเกจที่ถูกต้องเพื่อสร้างความไว้วางใจ ก่อนที่จะแทรกโค้ดอันตรายในภายหลัง
4. ฟิชชิ่งยังคงมีประสิทธิภาพ โดยใช้มนุษย์เป็นจุดอ่อนที่สุด
5. นักพัฒนาคลิกลิงก์ที่เป็นอันตรายและป้อนข้อมูลประจำตัว ทำให้บัญชีถูกบุกรุก ซึ่งนำไปสู่การเป็นพิษของแพ็กเกจที่มีการดาวน์โหลดหลายสิบล้านครั้ง
6. มัลแวร์ยังคงเล็ดลอดผ่านกลไกการตรวจสอบของร้านค้าทางการ (เช่น ส่วนเสริม Chrome ที่ขโมยข้อมูล ChatGPT)
7. ระบบตรวจสอบอัตโนมัติและผู้ดูแลระบบไม่สามารถตามทันความซับซ้อนของผู้โจมตี

Recommendations:

Short Term:

• แก้ไขรูปแบบการอนุญาต (Permissions models) สำหรับส่วนเสริมของเบราว์เซอร์ให้คล้ายคลึงกับ Android และ iOS เพื่อให้ผู้ใช้สามารถควบคุมสิทธิ์ได้ละเอียดขึ้น
• เสริมความแข็งแกร่งในการตรวจสอบซัพพลายเชน (Supply chain verification) ของซอฟต์แวร์
• กำหนดให้การยืนยันตัวตนที่ทนทานต่อฟิชชิ่ง (Phishing-resistant authentication) เป็นค่าเริ่มต้น
• หยุดการไล่ตามกลยุทธ์การป้องกันที่ ‘ล้ำสมัย’ และหันมาแก้ไขปัญหาพื้นฐานที่ยังคงทำงานผิดพลาดอยู่

Long Term:

• นำเทคโนโลยีการควบคุมสิทธิ์ที่ละเอียดอ่อน (granular control) มาใช้กับส่วนเสริมของเบราว์เซอร์ เพื่อให้ผู้ใช้สามารถเลือกให้สิทธิ์เฉพาะที่จำเป็นเท่านั้น
• สร้างความตระหนักและให้การศึกษาแก่ผู้ใช้งานเกี่ยวกับภัยคุกคามฟิชชิ่งอย่างต่อเนื่อง
• ลงทุนในการปรับปรุงระบบตรวจสอบอัตโนมัติและผู้ดูแลระบบของร้านค้าแอปพลิเคชันอย่างต่อเนื่อง เพื่อให้สามารถตรวจจับมัลแวร์ที่ซับซ้อนได้
• มีการตรวจสอบและปรับปรุงความปลอดภัยของซัพพลายเชนอย่างสม่ำเสมอ

Source: https://thehackernews.com/2026/01/what-should-we-learn-from-how-attackers.html