หน่วยงานความปลอดภัย Slow Mist ประกาศคำเตือนเร่งด่วนว่า องค์กร Lazarus ของเกาหลีเหนือ ซึ่งมีหน่วยงานย่อยชื่อ HexagonalRodent กำลังโจมตีเหล่านักพัฒนา Web3 โดยใช้วิธีการวิศวกรรมสังคม เช่น การเสนอเงินเดือนสูงสำหรับงานระยะไกล เพื่อหลอกให้นักพัฒนารันโค้ดสำหรับการประเมินทักษะ ซึ่งรวมถึงโค้ดที่มีแบ็กดอร์ของมัลแวร์ในที่สุดเพื่อขโมยสินทรัพย์เข้ารหัส จากรายงานการสอบสวนของ Expel พบว่าในช่วง 3 เดือนแรกของปี 2026 ยอดความเสียหายสูงถึง 12 ล้านดอลลาร์สหรัฐ
วิธีการโจมตี: โค้ดประเมินทักษะคือจุดเริ่มติดเชื้อหลัก
ผู้โจมตีเริ่มต้นด้วยการติดต่อเป้าหมายผ่าน LinkedIn หรือแพลตฟอร์มรับสมัครงาน หรือสร้างเว็บไซต์ปลอมของบริษัทเพื่อเผยแพร่ประกาศรับสมัครงาน โดยใช้ข้ออ้าง “การประเมินทักษะทำงานที่บ้าน” เพื่อให้นักพัฒนารันโค้ดที่เป็นอันตราย โค้ดสำหรับการประเมินมีเส้นทางการติดเชื้อ 2 แบบ:
การโจมตี VSCode tasks.json: ฝังโค้ดที่เป็นอันตรายลงในไฟล์ tasks.json ที่มีคำสั่ง runOn: folderOpen ทำให้นักพัฒนาเพียงแค่เปิดโฟลเดอร์ที่มีโค้ดใน VSCode แล้วมัลแวร์จะทำงานอัตโนมัติ
แบ็กดอร์ที่ฝังในโค้ด: โค้ดสำหรับการประเมินเองฝังแบ็กดอร์ไว้ โดยจะกระตุ้นการติดเชื้อเมื่อโค้ดถูกเรียกใช้งาน โดยเป็นช่องทางสำรองสำหรับนักพัฒนาที่ไม่ได้ใช้ VSCode
มัลแวร์ที่ใช้ ได้แก่: BeaverTail (เครื่องมือขโมยข้อมูลเอนกประสงค์สำหรับ NodeJS), OtterCookie (เชลล์ย้อนกลับสำหรับ NodeJS) และ InvisibleFerret (เชลล์ย้อนกลับสำหรับ Python)
การโจมตีห่วงโซ่อุปทานครั้งแรก: ส่วนขยาย fast-draft VSX ถูกบุกรุก
วันที่ 18 มีนาคม 2026 HexagonalRodent ได้โจมตีห่วงโซ่อุปทานของส่วนขยาย VSCode “fast-draft” โดยกระจายมัลแวร์ OtterCookie ผ่านส่วนขยายที่ถูกบุกรุก Slow Mist ยืนยันว่า วันที่ 9 มีนาคม 2026 มีผู้ใช้รายหนึ่งที่มีชื่อเดียวกับนักพัฒนาของส่วนขยาย fast-draft ถูกติด OtterCookie แล้ว
หากสงสัยว่าระบบถูกติดเชื้อแล้ว สามารถใช้คำสั่งต่อไปนี้เพื่อตรวจสอบว่ามีการเชื่อมต่อไปยังเซิร์ฟเวอร์ C2 ที่รู้จักหรือไม่ (195.201.104[.]53): MacOS/Linux:netstat -an | grep 195.201.104.53 Windows:netstat -an | findstr 195.201.104.53
การใช้ประโยชน์จากเครื่องมือ AI อย่างไม่เหมาะสม: พบการใช้ ChatGPT และ Cursor อย่างเป็นอันตราย
HexagonalRodent ใช้ ChatGPT และ Cursor เพื่อช่วยในการโจมตีจำนวนมาก รวมถึงการสร้างโค้ดที่เป็นอันตรายและการสร้างเว็บไซต์ปลอมของบริษัท สัญญาณสำคัญในการระบุโค้ดที่สร้างโดย AI คือมีการใช้สัญลักษณ์อีโมจิในโค้ดเป็นจำนวนมาก (ซึ่งพบได้ยากมากในโค้ดที่เขียนด้วยมือ)
Cursor ได้บล็อกบัญชีและ IP ที่เกี่ยวข้องภายใน 1 วันทำการ OpenAI ยืนยันว่าได้พบการใช้งาน ChatGPT ในขอบเขตจำกัด โดยระบุว่า “ความช่วยเหลือ” ที่บัญชีเหล่านี้กำลังแสวงหานั้นอยู่ในกรณีการใช้งานเพื่อความปลอดภัยที่ถูกต้องตามกฎหมายในรูปแบบการใช้สองทาง (dual-use) และไม่พบกิจกรรมการพัฒนามัลแวร์อย่างต่อเนื่อง ได้ยืนยันแล้วว่ามีอย่างน้อย 13 กระเป๋าเงินที่ถูกติดเชื้อ โดยเงินได้ถูกส่งไปยังที่อยู่ Ethereum ของเกาหลีเหนือที่รู้จัก และได้รับเงินมากกว่า 1.1 ล้านดอลลาร์สหรัฐ
คำถามที่พบบ่อย
นักพัฒนา Web3 จะป้องกันตัวเองจากการโจมตีลักษณะนี้ได้อย่างไร?
มาตรการป้องกันหลักได้แก่: (1) ระมัดระวังสูงต่อผู้รับสมัครงานที่ไม่รู้จัก โดยเฉพาะโอกาสที่ต้องทำการประเมินโค้ดจากที่บ้าน; (2) เปิดที่เก็บโค้ดที่ไม่คุ้นเคยในสภาพแวดล้อมแบบแซนด์บ็อกซ์แทนระบบหลัก; (3) ตรวจสอบไฟล์ VSCode tasks.json เป็นประจำ เพื่อยืนยันว่าไม่มีงาน runOn: folderOpen ที่ไม่ได้รับอนุญาต; (4) ใช้กุญแจความปลอดภัยของฮาร์ดแวร์เพื่อปกป้องกระเป๋าเงินเข้ารหัส
จะยืนยันได้อย่างไรว่าระบบของฉันถูกติดเชื้อแล้ว?
รันคำสั่งตรวจสอบอย่างรวดเร็ว: ผู้ใช้ MacOS/Linux รัน netstat -an | grep 195.201.104.53, ผู้ใช้ Windows รัน netstat -an | findstr 195.201.104.53 หากพบการเชื่อมต่อแบบถาวรกับเซิร์ฟเวอร์ C2 ที่รู้จัก ให้ตัดอินเทอร์เน็ตทันทีและทำการสแกนมัลแวร์อย่างครอบคลุม
เหตุใด HexagonalRodent จึงเลือก NodeJS และ Python เป็นภาษาของมัลแวร์?
โดยทั่วไปแล้วนักพัฒนา Web3 มักติดตั้ง NodeJS และ Python ไว้แล้วบนระบบ ดังนั้นกระบวนการที่เป็นอันตรายสามารถแทรกเข้าไปในกิจกรรมการพัฒนาปกติของนักพัฒนาได้โดยไม่ทำให้เกิดการเตือน การใช้ภาษาเหล่านี้ไม่ใช่กลุ่มเป้าหมายหลักของระบบตรวจจับมัลแวร์แบบเดิม และเมื่อผนวกกับการใช้เครื่องมือทำให้โค้ดสับสนเชิงพาณิชย์ ทำให้การตรวจจับด้วยลายเซ็นทำได้ยากมาก
