นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญมัลแวร์ใหม่ที่มุ่งโจมชุมนักพัฒนาสกุลเงินคริปโตผ่านห่วงโซ่อุปทานของซอฟต์แวร์ มัลแวร์ดังกล่าวซึ่งรู้จักกันในชื่อ IronWorm เป็น infostealer ที่เขียนด้วย Rust ออกแบบมาเพื่อเก็บข้อมูลประจำตัวกระเป๋าเงิน คีย์บริการคลาวด์ และโทเคนการยืนยันตัวตนของ GitHub บริษัทรักษาความปลอดภัย SlowMist และ JFrog Security Research ได้แบ่งปันผลการค้นพบเมื่อวันที่ 4 มิถุนายน 2026 โดยเผยว่า IronWorm แพร่กระจายผ่านช่องทางการจัดจำหน่ายซอฟต์แวร์ที่เชื่อถือได้ ทำให้แพ็กเกจที่ถูกบุกรุกเพียงแพ็กเกจเดียวสามารถส่งผลกระทบต่อหลายโปรเจกต์ มัลแวร์หลบเลี่ยงกระบวนการตรวจทบทวนโค้ดแบบดั้งเดิมด้วยการฝังตัวเองไว้ในแพ็กเกจ npm ที่ดูถูกต้องตามกฎหมาย การค้นพบครั้งนี้ตอกย้ำถึงภัยคุกคามที่เพิ่มขึ้นของการโจมตีแบบห่วงโซ่อุปทานที่มุ่งเป้าการพัฒนาคริปโต รวมถึง AI และสภาพแวดล้อมการพัฒนาโอเพนซอร์ส
IronWorm กระจายผ่านแพ็กเกจ npm ที่เป็นอันตราย
การสืบสวนของ JFrog เปิดเผยว่า IronWorm ถูกกระจายผ่านแพ็กเกจ npm ที่เชื่อมโยงกับบัญชีซึ่งถูกระบุว่า asteroiddao ผู้โจมตีอัปโหลดแพ็กเกจที่ดูเหมือนถูกต้องตามกฎหมาย ในขณะเดียวกันก็ฝังมัลแวร์บนระบบปฏิบัติการ Linux แบบลับๆ ไว้ในไฟล์สำหรับการติดตั้ง กระบวนการติดเชื้อถูกกระตุ้นโดยอัตโนมัติผ่านสคริปต์ npm preinstall ซึ่งหมายความว่า นักพัฒนาอาจทำให้ระบบของตนถูกบุกรุกโดยไม่รู้ตัว เพียงแค่ติดตั้งสิ่งที่ดูเหมือนเป็นแพ็กเกจซอฟต์แวร์ปกติ
แพ็กเกจหนึ่งที่เป็นที่สนใจระหว่างการตรวจสอบคือ [email protected] ซึ่งแสดงพฤติกรรมที่น่าสงสัยระหว่างการทำงาน การวิเคราะห์พบเทคนิคหลายอย่างที่ตั้งใจเพื่อขัดขวางการตรวจจับและความพยายามในการย้อนวิศวกรรม รวมถึงสตริงที่ถูกเข้ารหัส เวอร์ชันที่ปรับแต่งของเครื่องมือบรรจุโค้ด UPX และโครงสร้างโค้ด Rust ที่ซับซ้อนซึ่งออกแบบมาเพื่อซ่อนการทำงานของมัลแวร์ หลังจากแกะโค้ดออกมาแล้ว นักวิจัยพบโมดูลที่เชื่อมโยงกับ GitHub APIs กิจกรรมการแสวงหาข้อมูลประจำตัว และกลไกที่รองรับการจำลองตัวเอง
นักวิจัยรายงานว่า IronWorm ไม่เพียงแต่ขโมยข้อมูลประจำตัวเท่านั้น แต่ยังสามารถแก้ไขที่เก็บซอฟต์แวร์และเผยแพร่แพ็กเกจที่ถูกบุกรุกซ้ำได้ พฤติกรรมการแพร่กระจายตัวเองนี้สร้างวงจรที่บัญชีผู้พัฒนาซึ่งถูกบุกรุกถูกนำมาใช้เพื่อกระจายแพ็กเกจมัลแวร์เพิ่มเติม ทำให้มัลแวร์ขยายขอบเขตได้ทั่วทั้งโปรเจกต์โอเพนซอร์สและแอปพลิเคชัน Web3 โดยไม่จำเป็นต้องมีการโต้ตอบโดยตรงจากผู้โจมตี
IronWorm มุ่งเป้าข้อมูลประจำตัวของนักพัฒนาและใช้เทคนิคแบบล่องหน
นักวิจัยระบุว่า IronWorm มุ่งเป้าข้อมูลประจำตัวในสภาพแวดล้อมการพัฒนาที่หลากหลาย มัลแวร์พยายามเข้าถึงแพลตฟอร์มคลาวด์ เช่น AWS เทคโนโลยีคอนเทนเนอร์รวมถึง Kubernetes และ Docker สภาพแวดล้อมการพัฒนา AI และกระเป๋าเงินสำหรับสกุลเงินคริปโต ผู้สืบสวนพบว่ามัลแวร์กำหนดเป้าหมายผู้ใช้ Exodus โดยเฉพาะ ด้วยการพยายามดักจับรหัสผ่านและวลีสำหรับกู้คืนขณะที่มีการป้อนเข้าไป
JFrog พบการคอมมิตปลอม 57 รายการที่กระจายอยู่ใน 9 องค์กร การเปลี่ยนแปลงเหล่านี้ถูกอำพรางให้ดูเหมือนการอัปเดตบำรุงรักษาตามปกติ และถูกโยงเข้ากับตัวตนแบบอัตโนมัติที่เชื่อถือได้ เช่น claude, dependabot และ github-actions กลยุทธ์นี้ช่วยให้กิจกรรมที่เป็นอันตรายกลมกลืนไปกับกระบวนการพัฒนาซอฟต์แวร์ที่ถูกต้องตามกฎหมาย
เพื่อรักษาสถานะการคงอยู่และหลีกเลี่ยงการตรวจจับ IronWorm ปรับใช้ eBPF rootkit ที่สามารถซ่อนกระบวนการที่กำลังทำงานและการสื่อสารเครือข่าย นักวิจัยระบุว่ามัลแวร์ใช้โครงสร้างพื้นฐานแบบ Tor สำหรับการสื่อสารแบบคำสั่งและควบคุม (command-and-control) รวมถึงการขโมยถ่ายโอนข้อมูล ทำให้ทราฟฟิกเครือข่ายยากต่อการติดตามอย่างมีนัยสำคัญ แม้จะมีความสามารถขั้นสูง แต่ผู้สืบสวนยังพบความผิดพลาดด้านปฏิบัติการของผู้โจมตี รวมถึงข้อมูลสำหรับดีบักที่หลงเหลืออยู่ในมัลแวร์ และวลีสำหรับกู้คืนกระเป๋าเงินที่ฝังโค้ดตายตัว (hardcoded) ซึ่งถูกเปิดเผย
การโจมตีห่วงโซ่อุปทานมุ่งเป้า生态การพัฒนาคริปโต
การค้นพบ IronWorm เกิดขึ้นหลังจากเหตุการณ์คล้ายกันหลายครั้งที่ถูกรายงานตลอดทั้งปี ในเดือนพฤษภาคม นักวิจัยระบุแคมเปญ TrapDoor ซึ่งใช้แพ็กเกจที่เป็นอันตรายข้าม npm, PyPI และ Crates.io เพื่อมุ่งเป้านักพัฒนาที่ทำงานด้านคริปโต การเงินแบบกระจายอำนาจ (decentralized finance) ปัญญาประดิษฐ์ และความปลอดภัยทางไซเบอร์
SlowMist ได้เตือนเกี่ยวกับมัลแวร์อีกสายพันธุ์ที่รู้จักกันในชื่อ Mini Shai-Hulud ซึ่งติดเชื้อมากกว่า 170 แพ็กเกจ JavaScript ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่ามัลแวร์แพร่กระจายผ่านไลบรารีโอเพนซอร์สที่ถูกใช้งานอย่างแพร่หลาย ซึ่งเพิ่มโอกาสการถูกเปิดเผยในวงกว้างทั่วทั้งระบบนิเวศซอฟต์แวร์ ในช่วงต้นปีนี้ ผู้โจมตีได้บุกรุกการเผยแพร่ของแพ็กเกจ Axios หลังจากเข้าถึงข้อมูลสำหรับการเผยแพร่ได้สำเร็จ
FAQ
มัลแวร์ IronWorm คืออะไร?
IronWorm เป็น infostealer ที่เขียนด้วย Rust ซึ่งมุ่งเป้านักพัฒนาคริปโตผ่านห่วงโซ่อุปทานของซอฟต์แวร์ บริษัทรักษาความปลอดภัย SlowMist และ JFrog Security Research รายงานเมื่อวันที่ 4 มิถุนายน 2026 ว่ามัลแวร์เก็บข้อมูลประจำตัวกระเป๋าเงิน คีย์บริการคลาวด์ และโทเคนการยืนยันตัวตนของ GitHub ด้วยการแพร่กระจายผ่านแพ็กเกจ npm
IronWorm แพร่กระจายผ่านสภาพแวดล้อมการพัฒนาได้อย่างไร?
IronWorm แพร่กระจายผ่านแพ็กเกจ npm ที่เป็นอันตรายซึ่งอัปโหลดโดยบัญชีที่ถูกระบุว่า asteroiddao มัลแวร์ใช้สคริปต์ npm preinstall เพื่อกระตุ้นการติดเชื้อแบบอัตโนมัติ และสามารถแก้ไขที่เก็บซอฟต์แวร์เพื่อเผยแพร่แพ็กเกจที่ถูกบุกรุกซ้ำ ทำให้เกิดวงจรการแพร่กระจายตัวเองข้ามโปรเจกต์โอเพนซอร์ส
IronWorm ใช้เทคนิคอะไรเพื่อหลบเลี่ยงการตรวจจับ?
IronWorm ใช้สตริงที่ถูกเข้ารหัส เครื่องมือบรรจุโค้ด UPX แบบที่ปรับแต่งแล้ว และโครงสร้างโค้ด Rust ที่ซับซ้อนเพื่อขัดขวางการย้อนวิศวกรรม มัลแวร์ติดตั้ง eBPF rootkit เพื่อซ่อนกระบวนการและการสื่อสารเครือข่าย และใช้โครงสร้างพื้นฐานแบบ Tor สำหรับการทำงานคำสั่งและควบคุม
