แฮกเกอร์เกาหลีเหนือใช้บล็อกเชนซ่อนมัลแวร์ขโมยคริปโต

ตุลาคม 18, 2025
 |  ไม่มีความเห็น
28f5b3fb-6827-811b-8949-feb224bbf8b8.png

กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือพัฒนาวิธีการโจมตีทางไซเบอร์รูปแบบใหม่ด้วยการนำเทคโนโลยีบล็อกเชนมาใช้เป็นช่องทางในการแพร่กระจายมัลแวร์ รายงานจาก Google's Threat Intelligence Group (GTIG) เปิดเผยว่ากลุ่ม UNC5342 ใช้ประโยชน์จากเครือข่ายบล็อกเชน Ethereum และ BNB Smart Chain ในการซ่อนโค้ดที่เป็นอันตราย โดยมีเป้าหมายหลักคือนักพัฒนาซอฟต์แวร์และผู้ที่ทำงานในอุตสาหกรรมคริปโตเคอเรนซี เพื่อขโมยทรัพย์สินดิจิทัลของเหยื่อ

เทคนิคที่แฮกเกอร์กลุ่มนี้ใช้มีชื่อเรียกว่า EtherHiding ซึ่งเป็นการเข้ารหัสส่วนของมัลแวร์ลงในธุรรมการ (transaction) และสัญญาอัจฉริยะ (smart contract) บนบล็อกเชน แทนที่จะส่งไฟล์ที่เป็นอันตรายไปยังเหยื่อโดยตรง วิธีการนี้ทำให้ระบบป้องกันทั่วไปตรวจจับได้ยาก เมื่อเหยื่อคลิกลิงก์ รันสคริปต์ หรือเชื่อมต่อกระเป๋าเงินดิจิทัล ระบบจะดึงโค้ดจากบล็อกเชนมาทำงานบนคอมพิวเตอร์ของเหยื่อทันที สัญญาอัจฉริยะเองไม่ได้รันมัลแวร์อัตโนมัติ แต่จะส่งคำสั่งหรือโค้ดเมื่อผู้ใช้มีการโต้ตอบกับมัน

ตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา กลุ่ม UNC5342 สร้างประกาศรับสมัครงานปลอมและแจกโจทย์เขียนโปรแกรมที่ดูน่าสนใจ เพื่อล่อให้นักพัฒนาและผู้ทำงานในแวดวง Web3 ดาวน์โหลดไฟล์ที่มีการเชื่อมต่อกับบล็อกเชน เมื่อเหยื่อเปิดไฟล์เหล่านี้ ระบบจะดึงโค้ดจากบล็อกเชนมาติดตั้ง JadeSnow loader ซึ่งจะดาวน์โหลด InvisibleFerret backdoor ต่อ มัลแวร์ตัวนี้ถูกใช้ในการขโมยคริปโตเคอเรนซีมาแล้วหลายครั้ง

จุดแข็งของวิธีการนี้คือความเป็นอมตะของบล็อกเชน เมื่อข้อมูลถูกบันทึกลงบล็อกเชนแล้วจะเกือบเป็นไปไม่ได้ที่จะลบหรือแก้ไข ทำให้กลายเป็น "bulletproof hosting รุ่นใหม่" ตามที่ Google อธิบาย การโฮสต์มัลแวร์บนบล็อกเชนทำให้แฮกเกอร์ไม่ต้องพึ่งพาเซิร์ฟเวอร์ที่อาจถูกปิดได้ และข้อมูลสามารถเข้าถึงได้แบบสาธารณะจากทุกที่ในโลก ทำให้การติดตามและปิดกั้นเป็นเรื่องยากมาก

เทคนิค EtherHiding ไม่ใช่เรื่องใหม่ มีการใช้งานมาตั้งแต่ปี 2023 และไม่ใช่เฉพาะกลุ่มเกาหลีเหนือเท่านั้นที่ใช้ Google รายงานว่ากลุ่ม UNC5142 ที่มีแรงจูงใจทางการเงินก็ใช้เทคนิคเดียวกันด้วยการเจาะเว็บไซต์ WordPress เพื่อฝังโค้ด JavaScript ที่เชื่อมต่อกับบล็อกเชน ปัจจุบันพบเว็บไซต์ที่ติดมัลแวร์แล้วมากกว่า 14,000 เว็บไซต์ ส่วนเกาหลีเหนือเป็นที่รู้จักในการโจมตีอุตสาหกรรมคริปโตอย่างต่อเนื่อง เพื่อนำเงินที่ขโมยได้ไปใช้สนับสนุนโครงการอาวุธและเครื่องจักรรัฐของประเทศ

ป้ายกำกับ:, , , , , , , , ,