กลุ่มแฮกเกอร์ชาวเกาหลีเหนือได้เปิดตัวแคมเปญวิศวกรรมสังคมที่ซับซ้อนชื่อ ‘Contagious Interview’ โดยพุ่งเป้าไปที่นักพัฒนาซอฟต์แวร์ผ่านข้อเสนอการจ้างงานปลอม แคมเปญนี้ใช้คลังเก็บโค้ดที่เป็นอันตรายที่ปลอมแปลงเป็นโปรเจกต์ประเมินทางเทคนิคเพื่อติดตั้งมัลแวร์สองชั้น เหยื่อจะถูกล่อลวงผ่านข้อความ LinkedIn จากผู้สรรหาปลอมแปลง โดยอ้างว่าเป็นตัวแทนขององค์กรเช่น Meta2140 และถูกชักจูงให้ดาวน์โหลดคลังโค้ดที่มีโค้ดประสงค์ร้ายซ่อนอยู่ มัลแวร์นี้ถูกออกแบบมาเพื่อขโมยข้อมูลประจำตัว กระเป๋าเงินดิจิทัล และสร้างการเข้าถึงระบบจากระยะไกลอย่างต่อเนื่อง โดยใช้กลไกการติดเชื้อหลายรูปแบบ รวมถึง VS Code tasks ที่ซ่อนอยู่, hook ในโค้ดแอปพลิเคชัน และการติดตั้ง npm dependency ที่เป็นอันตราย นักวิจัยจาก SEAL Intel ระบุว่ามัลแวร์นี้มีต้นกำเนิดมาจากกลุ่มคนงานไอทีชาวเกาหลีเหนือที่เคยดำเนินการโปรเจกต์ฉ้อโกงอื่น ๆ
Severity: สูง
System Impact:
- ระบบของนักพัฒนาซอฟต์แวร์ (Developer Systems)
- โปรแกรมแก้ไขโค้ด Visual Studio Code (VS Code)
- กระเป๋าเงินดิจิทัล (Cryptocurrency Wallets)
- เว็บเบราว์เซอร์: Chrome, Brave, Opera (สำหรับการขโมยข้อมูลประจำตัวและข้อมูลกระเป๋าเงิน)
- ระบบปฏิบัติการ Windows (สำหรับกลไกการคงอยู่)
Technical Attack Steps:
- 1. การล่อลวงเบื้องต้น: ผู้โจมตีส่งข้อเสนอการจ้างงานปลอมไปยังนักพัฒนาซอฟต์แวร์ผ่าน LinkedIn โดยปลอมแปลงเป็นผู้สรรหาจากองค์กร เช่น Meta2140
- 2. การส่งมอบคลังโค้ดอันตราย: เหยื่อถูกชักจูงให้ดาวน์โหลดคลังโค้ดที่ปลอมแปลงเป็นโปรเจกต์ประเมินทางเทคนิค
- 3. กลไกการติดเชื้อ – VS Code Tasks: การตั้งค่า VS Code tasks ที่ซ่อนอยู่จะดำเนินการโค้ดอันตรายโดยอัตโนมัติเมื่อเปิดโฟลเดอร์โปรเจกต์หรือตรวจสอบโค้ด (โดยไม่ต้องมีการดำเนินการโค้ดโดยตรงจากผู้ใช้)
- 4. กลไกการติดเชื้อทางเลือก: หากวิธีข้างต้นล้มเหลว การโจมตีอาจพยายามติดตั้ง npm dependency ที่เป็นอันตราย หรือใช้ hook ในโค้ดแอปพลิเคชันเพื่อดาวน์โหลดและดำเนินการ payload
- 5. การติดตั้ง Node.js Controller (ชั้นที่ 1): มัลแวร์ดาวน์โหลดและดำเนินการ Node.js controller ในหน่วยความจำระบบ
- 6. การขโมยข้อมูล (โดยโมดูล Node.js): Controller ติดตั้งโมดูลเฉพาะทาง 5 ตัวเพื่อขโมยข้อมูลที่ละเอียดอ่อน ได้แก่ keylogger, screenshot module (ส่งไปยัง C2 ที่ 172.86.116.178), file grabber (สแกนหาไฟล์คอนฟิก, ความลับ, SSH keys), clipboard monitor (เฝ้าดูที่อยู่กระเป๋าเงินดิจิทัล) และ browser stealer (เป้าหมายข้อมูลประจำตัวและข้อมูลกระเป๋าเงินจาก Chrome, Brave, Opera)
- 7. เครื่องมือเข้าถึงจากระยะไกล: ใช้ socket.io เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมของผู้โจมตี ทำให้สามารถดำเนินการคำสั่ง shell ได้ตามอำเภอใจ
- 8. การติดตั้ง Python Payloads และการคงอยู่ (ชั้นที่ 2): มัลแวร์ติดตั้ง Python payloads เพื่อสร้างความคงทนที่แข็งแกร่งขึ้นบนระบบ Windows โดยใช้การฉีดโฟลเดอร์เริ่มต้น (startup folder injections) และการตั้งค่างานตามกำหนดเวลา (scheduled tasks) ที่เลียนแบบกระบวนการ Windows ที่ถูกต้องตามกฎหมาย เช่น RuntimeBroker.exe
- 9. การขุดเงินดิจิทัล: โมดูล miner ดาวน์โหลดและดำเนินการซอฟต์แวร์ขุดเงินดิจิทัล XMRig
- 10. การดำเนินการอย่างลับๆ: มัลแวร์สร้างไดเรกทอรีที่ซ่อนอยู่ใน .npm และโฟลเดอร์ระบบเพื่อเก็บข้อมูลที่ถูกขโมยและรักษาการเข้าถึงระบบ
Recommendations:
Short Term:
- ปิดการทำงานอัตโนมัติของ VS Code tasks ทันที
- เปิดใช้งานการยืนยันความน่าเชื่อถือของ Workspace (Workspace Trust Verification) ใน VS Code
- หากพบสัญญาณการติดเชื้อ (เช่น ไดเรกทอรีที่ซ่อนอยู่ .n2, .n3 หรือ .npm) ให้เปลี่ยนข้อมูลประจำตัวทั้งหมดทันที
- ย้ายกระเป๋าเงินดิจิทัลไปยังที่อยู่ใหม่จากอุปกรณ์ที่สะอาดและไม่ติดเชื้อ
Long Term:
- สำหรับระบบ Windows ที่มีการยืนยันการติดเชื้อ แนะนำให้ทำการติดตั้งระบบปฏิบัติการใหม่ทั้งหมด เนื่องจากกลไกการคงอยู่ในระดับ Registry
- ระมัดระวังเป็นอย่างยิ่งกับข้อเสนอการจ้างงานที่ไม่คาดคิด โดยเฉพาะอย่างยิ่งที่ต้องมีการดาวน์โหลดหรือดำเนินการโค้ด
- ตรวจสอบความถูกต้องของผู้สรรหาและองค์กรผ่านช่องทางที่เป็นทางการ (ไม่ใช่แค่โปรไฟล์ LinkedIn)
- อัปเดตซอฟต์แวร์ทั้งหมดอย่างสม่ำเสมอ โดยเฉพาะเครื่องมือสำหรับนักพัฒนาและระบบปฏิบัติการ
- ใช้โซลูชัน Endpoint Detection and Response (EDR) ที่แข็งแกร่ง
- ให้ความรู้แก่นักพัฒนาเกี่ยวกับกลยุทธ์วิศวกรรมสังคมและการโจมตีซัพพลายเชน
- ใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีที่สำคัญทั้งหมด
- สำรองข้อมูลสำคัญอย่างสม่ำเสมอ
Source: https://cybersecuritynews.com/north-korean-hackers-use-code-abuse-tactics/
Share this content: