เว็บไซต์กว่า 14,000 แห่งถูกแฮกเกอร์ใช้ในการแพร่กระจายมัลแวร์ผ่านเทคโนโลยีบล็อกเชน

ตุลาคม 19, 2025
 |  ไม่มีความเห็น
28f5b3fb-6827-81e8-9e50-c7b91b4c11a8.png

กลุ่มแฮกเกอร์ทั่วโลกกำลังใช้เทคนิคใหม่ในการแพร่กระจายมัลแวร์ที่ยากต่อการตรวจจับและปิดกั้นมากกว่าที่เคย โดยรายงานจาก Google Threat Intelligence Group (GTIG) เมื่อวันที่ 16 ตุลาคม 2025 เปิดเผยว่ามีเว็บไซต์มากกว่า 14,000 แห่งถูกบุกรุกและนำมาใช้เป็นช่องทางกระจายมัลแวร์ผ่านเทคนิคที่เรียกว่า "EtherHiding" ซึ่งเป็นครั้งแรกที่กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือนำเทคโนโลยีบล็อกเชนมาใช้ในการโจมตีทางไซเบอร์[1]

EtherHiding คือเทคนิคที่แฮกเกอร์ใช้ประโยชน์จากเครือข่ายบล็อกเชนสาธารณะ เช่น Ethereum และ BNB Smart Chain ในการซ่อนและแพร่กระจายมัลแวร์ แทนที่จะโฮสต์โค้ดอันตรายบนเซิร์ฟเวอร์ทั่วไป กลุ่มแฮกเกอร์จะฝังโค้ดมัลแวร์ลงในสัญญาอัจฉริยะ (smart contracts) บนบล็อกเชน เมื่อเหยื่อเข้าถึงเว็บไซต์ WordPress ที่ถูกบุกรุกและมีการฝังสคริปต์ JavaScript ไว้ ระบบจะดึงข้อมูลจากบล็อกเชนมาทำงานบนอุปกรณ์ของเหยื่อทันที[2][3]

GTIG ระบุว่ามีกลุ่มแฮกเกอร์หลัก 2 กลุ่มที่ใช้เทคนิคนี้ ได้แก่:

  • UNC5342 – กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ มุ่งเป้าไปที่การขโมยคริปโทเคอร์เรนซี เป็นกลุ่มรัฐบาลแรกที่นำ EtherHiding มาใช้ มักใช้วิธีสร้างประกาศรับสมัครงานปลอมและโจทย์เขียนโปรแกรมเพื่อล่อนักพัฒนาซอฟต์แวร์และผู้ทำงานในแวดวง Web3[1]
  • UNC5142 – กลุ่มที่มีแรงจูงใจทางการเงิน เริ่มดำเนินการตั้งแต่ปลายปี 2023 และหยุดกิจกรรมในช่วงปลายกรกฎาคม 2025 เชี่ยวชาญในการกระจายมัลแวร์ขโมยข้อมูล (infostealers) ได้แก่ Lumma, Atomic (AMOS), Rhadamanthys และ Vidar ที่สามารถโจมตีทั้งระบบ Windows และ macOS[3]

จุดแข็งของเทคนิค EtherHiding อยู่ที่ความเป็น "bulletproof hosting รุ่นใหม่" เนื่องจากข้อมูลที่บันทึกลงบล็อกเชนไม่สามารถลบหรือแก้ไขได้ และสามารถเข้าถึงได้จากทุกที่ในโลกตลอดเวลา ทำให้เจ้าหน้าที่และนักวิจัยด้านความปลอดภัยแทบจะไม่สามารถปิดกั้นหรือลบมัลแวร์เหล่านี้ได้ นอกจากนี้ระบบป้องกันทั่วไปยังตรวจจับได้ยากเพราะไม่มีการส่งไฟล์ที่เป็นอันตรายโดยตรง แต่ดึงโค้ดจากบล็อกเชนมาทำงานแบบเรียลไทม์แทน[4]

Google แนะนำให้ผู้ใช้และองค์กรเพิ่มความระมัดระวังโดยหลีกเลี่ยงการคลิกลิงก์หรือดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะประกาศรับสมัครงานหรือโจทย์เขียนโปรแกรมจากผู้ส่งที่ไม่รู้จัก ควรอัปเดตซอฟต์แวร์ป้องกันภัยและเปิดใช้งาน two-factor authentication สำหรับเจ้าของเว็บไซต์ WordPress ควรตรวจสอบและอัปเดตปลั๊กอินอย่างสม่ำเสมอ เนื่องจากเป็นช่องโหว่หลักที่แฮกเกอร์ใช้ในการบุกรุก[5]

ป้ายกำกับ:, , , , , , , , ,