หน่วยงานความปลอดภัย Slow Mist ประกาศคำเตือนเร่งด่วนว่า องค์กร Lazarus ของเกาหลีเหนือ ซึ่งมีหน่วยงานย่อยชื่อ HexagonalRodent กำลังโจมตีเหล่านักพัฒนา Web3 โดยใช้วิธีการวิศวกรรมสังคม เช่น การเสนอเงินเดือนสูงสำหรับงานระยะไกล เพื่อหลอกให้นักพัฒนารันโค้ดสำหรับการประเมินทักษะ ซึ่งรวมถึงโค้ดที่มีแบ็กดอร์ของมัลแวร์ในที่สุดเพื่อขโมยสินทรัพย์เข้ารหัส จากรายงานการสอบสวนของ Expel พบว่าในช่วง 3 เดือนแรกของปี 2026 ยอดความเสียหายสูงถึง 12 ล้านดอลลาร์สหรัฐ
วิธีการโจมตี: โค้ดประเมินทักษะคือจุดเริ่มติดเชื้อหลัก
ผู้โจมตีเริ่มต้นด้วยการติดต่อเป้าหมายผ่าน LinkedIn หรือแพลตฟอร์มรับสมัครงาน หรือสร้างเว็บไซต์ปลอมของบริษัทเพื่อเผยแพร่ประกาศรับสมัครงาน โดยใช้ข้ออ้าง “การประเมินทักษะทำงานที่บ้าน” เพื่อให้นักพัฒนารันโค้ดที่เป็นอันตราย โค้ดสำหรับการประเมินมีเส้นทางการติดเชื้อ 2 แบบ:
การโจมตี VSCode tasks.json: ฝังโค้ดที่เป็นอันตรายลงในไฟล์ tasks.json ที่มีคำสั่ง runOn: folderOpen ทำให้นักพัฒนาเพียงแค่เปิดโฟลเดอร์ที่มีโค้ดใน VSCode แล้วมัลแวร์จะทำงานอัตโนมัติ
แบ็กดอร์ที่ฝังในโค้ด: โค้ดสำหรับการประเมินเองฝังแบ็กดอร์ไว้ โดยจะกระตุ้นการติดเชื้อเมื่อโค้ดถูกเรียกใช้งาน โดยเป็นช่องทางสำรองสำหรับนักพัฒนาที่ไม่ได้ใช้ VSCode
มัลแวร์ที่ใช้ ได้แก่: BeaverTail (เครื่องมือขโมยข้อมูลเอนกประสงค์สำหรับ NodeJS), OtterCookie (เชลล์ย้อนกลับสำหรับ NodeJS) และ InvisibleFerret (เชลล์ย้อนกลับสำหรับ Python)
การโจมตีห่วงโซ่อุปทานครั้งแรก: ส่วนขยาย fast-draft VSX ถูกบุกรุก
วันที่ 18 มีนาคม 2026 HexagonalRodent ได้โจมตีห่วงโซ่อุปทานของส่วนขยาย VSCode “fast-draft” โดยกระจายมัลแวร์ OtterCookie ผ่านส่วนขยายที่ถูกบุกรุก Slow Mist ยืนยันว่า วันที่ 9 มีนาคม 2026 มีผู้ใช้รายหนึ่งที่มีชื่อเดียวกับนักพัฒนาของส่วนขยาย fast-draft ถูกติด OtterCookie แล้ว
หากสงสัยว่าระบบถูกติดเชื้อแล้ว สามารถใช้คำสั่งต่อไปนี้เพื่อตรวจสอบว่ามีการเชื่อมต่อไปยังเซิร์ฟเวอร์ C2 ที่รู้จักหรือไม่ (195.201.104[.]53): MacOS/Linux:netstat -an | grep 195.201.104.53 Windows:netstat -an | findstr 195.201.104.53
การใช้ประโยชน์จากเครื่องมือ AI อย่างไม่เหมาะสม: พบการใช้ ChatGPT และ Cursor อย่างเป็นอันตราย
HexagonalRodent ใช้ ChatGPT และ Cursor เพื่อช่วยในการโจมตีจำนวนมาก รวมถึงการสร้างโค้ดที่เป็นอันตรายและการสร้างเว็บไซต์ปลอมของบริษัท สัญญาณสำคัญในการระบุโค้ดที่สร้างโดย AI คือมีการใช้สัญลักษณ์อีโมจิในโค้ดเป็นจำนวนมาก (ซึ่งพบได้ยากมากในโค้ดที่เขียนด้วยมือ)
Cursor ได้บล็อกบัญชีและ IP ที่เกี่ยวข้องภายใน 1 วันทำการ OpenAI ยืนยันว่าได้พบการใช้งาน ChatGPT ในขอบเขตจำกัด โดยระบุว่า “ความช่วยเหลือ” ที่บัญชีเหล่านี้กำลังแสวงหานั้นอยู่ในกรณีการใช้งานเพื่อความปลอดภัยที่ถูกต้องตามกฎหมายในรูปแบบการใช้สองทาง (dual-use) และไม่พบกิจกรรมการพัฒนามัลแวร์อย่างต่อเนื่อง ได้ยืนยันแล้วว่ามีอย่างน้อย 13 กระเป๋าเงินที่ถูกติดเชื้อ โดยเงินได้ถูกส่งไปยังที่อยู่ Ethereum ของเกาหลีเหนือที่รู้จัก และได้รับเงินมากกว่า 1.1 ล้านดอลลาร์สหรัฐ
คำถามที่พบบ่อย
นักพัฒนา Web3 จะป้องกันตัวเองจากการโจมตีลักษณะนี้ได้อย่างไร?
มาตรการป้องกันหลักได้แก่: (1) ระมัดระวังสูงต่อผู้รับสมัครงานที่ไม่รู้จัก โดยเฉพาะโอกาสที่ต้องทำการประเมินโค้ดจากที่บ้าน; (2) เปิดที่เก็บโค้ดที่ไม่คุ้นเคยในสภาพแวดล้อมแบบแซนด์บ็อกซ์แทนระบบหลัก; (3) ตรวจสอบไฟล์ VSCode tasks.json เป็นประจำ เพื่อยืนยันว่าไม่มีงาน runOn: folderOpen ที่ไม่ได้รับอนุญาต; (4) ใช้กุญแจความปลอดภัยของฮาร์ดแวร์เพื่อปกป้องกระเป๋าเงินเข้ารหัส
จะยืนยันได้อย่างไรว่าระบบของฉันถูกติดเชื้อแล้ว?
รันคำสั่งตรวจสอบอย่างรวดเร็ว: ผู้ใช้ MacOS/Linux รัน netstat -an | grep 195.201.104.53, ผู้ใช้ Windows รัน netstat -an | findstr 195.201.104.53 หากพบการเชื่อมต่อแบบถาวรกับเซิร์ฟเวอร์ C2 ที่รู้จัก ให้ตัดอินเทอร์เน็ตทันทีและทำการสแกนมัลแวร์อย่างครอบคลุม
เหตุใด HexagonalRodent จึงเลือก NodeJS และ Python เป็นภาษาของมัลแวร์?
โดยทั่วไปแล้วนักพัฒนา Web3 มักติดตั้ง NodeJS และ Python ไว้แล้วบนระบบ ดังนั้นกระบวนการที่เป็นอันตรายสามารถแทรกเข้าไปในกิจกรรมการพัฒนาปกติของนักพัฒนาได้โดยไม่ทำให้เกิดการเตือน การใช้ภาษาเหล่านี้ไม่ใช่กลุ่มเป้าหมายหลักของระบบตรวจจับมัลแวร์แบบเดิม และเมื่อผนวกกับการใช้เครื่องมือทำให้โค้ดสับสนเชิงพาณิชย์ ทำให้การตรวจจับด้วยลายเซ็นทำได้ยากมาก
btc.bar.articles
Zondacrypto 交易所เผชิญข้อกล่าวหายักยอก 350 ล้านดอลลาร์สหรัฐฯ ผู้บริหารระดับซีอีโอปฏิเสธต่อสาธารณะ
หนึ่งในบริษัทยักษ์ใหญ่ด้านการแลกเปลี่ยนสกุลเงินดิจิทัลที่ใหญ่ที่สุดในโปแลนด์อย่าง Zondacrypto โดยประธานเจ้าหน้าที่บริหาร ปรเซมีสวาฟ เคราล์ (Przemysław Kral) ได้ออกแถลงการณ์ต่อสาธารณะบนสื่อสังคมออนไลน์เมื่อวันที่ 16 เมษายน โดยระบุว่าแพลตฟอร์มดังกล่าวไม่สามารถเข้าถึงกระเป๋าเงินที่ถือ Bitcoin จำนวน 4,503 เหรียญ มูลค่าปัจจุบันมากกว่า 350 ล้านดอลลาร์สหรัฐ เคราล์ได้เปิดเผยที่อยู่ของกระเป๋าเงินที่เกี่ยวข้องเพื่อหักล้างข้อกล่าวหาการนำไปใช้โดยมิชอบ แต่การเปิดเผยดังกล่าวกลับก่อให้เกิดการถอนเงินจำนวนมากในทันที
MarketWhisper1 ชั่วโมง ที่แล้ว
Bitwarden CLI มีการเปิดเผยแพ็กเกจ npm ที่เป็นอันตราย ซึ่งสร้างความเสี่ยงต่อการถูกขโมยสำหรับกระเป๋าเงินเข้ารหัส
Mao Wu ผู้บริหารด้านความปลอดภัยสารสนเทศระดับสูง 23pds ส่งต่อคำเตือนจากทีมความปลอดภัยของ Bitwarden โดยเวอร์ชัน Bitwarden CLI 2026.4.0 เคยถูกถอนแล้ว ซึ่งในช่วงเวลา 1.5 ชั่วโมงตั้งแต่ 22 เมษายน เวลา 5:57 ถึง 7:30 น. ตามเวลามาตรฐานตะวันออกสหรัฐฯ มีการเผยแพร่แพ็กเกจที่เป็นอันตรายผ่าน npm โดยเวอร์ชันที่ถูกดัดแปลงถูกถอนออกแล้ว Bitwarden ยืนยันอย่างเป็นทางการว่าข้อมูลแอปคลังรหัสผ่านและระบบการผลิตไม่ได้รับผลกระทบ。
MarketWhisper2 ชั่วโมง ที่แล้ว
JPMorgan: KelpDAO จัดการลบช่องโหว่ 200 พันล้าน DeFi TVL ทำให้ความน่าดึงดูดของสถาบันลดลง
ทีมวิจัยของ JPMorgan นำโดยนักวิเคราะห์ Nikolaos Panigirtzoglou ซึ่งเผยแพร่รายงานเมื่อวันที่ 23 เมษายน ระบุว่า ช่องโหว่ด้านความปลอดภัยที่ยังคงมีอยู่ และมูลค่าการล็อกทั้งหมด (TVL) ที่ซบเซากำลังบั่นทอนเสน่ห์ของการเงินแบบกระจายอำนาจ (DeFi) ต่อบรรดานักลงทุนสถาบัน รายงานชี้ว่า ช่องโหว่ของ KelpDAO ได้ลบล้าง DeFi TVL ไปประมาณ 200 พันล้านดอลลาร์สหรัฐภายในไม่กี่วัน ซึ่งเผยให้เห็นความเสี่ยงเชิงโครงสร้าง
MarketWhisper2 ชั่วโมง ที่แล้ว
CoW DAO เสนอชดเชยให้ผู้เสียหายจากการแย่งชิงโดเมน cow.fi สูงสุด 100% ชดเชยความเสียหาย
CoW DAO เมื่อวันที่ 23 เมษายน ได้เผยแพร่ข้อเสนอการชดเชย (CIP) ในฟอรัมการกำกับดูแล โดยเสนอให้จัดตั้งโครงการช่วยเหลือแบบตามดุลยพินิจ เพื่อมอบค่าชดเชยความเสียหายสูงสุด 100% ให้แก่ผู้ที่ได้รับผลกระทบจากเหตุการโจมตีแย่งชิงชื่อโดเมน cow.fi เมื่อวันที่ 14 เมษายน เหตุการณ์ดังกล่าวคาดว่าจะทำให้ผู้ใช้สูญเสียประมาณ 1.2 ล้านดอลลาร์สหรัฐในรูปแบบ USDC CoW DAO เน้นย้ำว่าการชดเชยเป็นลักษณะของสิทธิพิเศษที่จ่ายโดยสมัครใจ และไม่ถือเป็นการยอมรับความรับผิดทางกฎหมายใด ๆ
MarketWhisper2 ชั่วโมง ที่แล้ว
CryptoQuant: เหตุช่องโหว่ของ KelpDAO ระเบิด สร้างวิกฤตที่รุนแรงที่สุดนับตั้งแต่ปี 2024, Aave TVL ลดลง 33%
ตามการประเมินของ CryptoQuant เมื่อวันที่ 23 เมษายน การโจมตีช่องโหว่ของ KelpDAO ที่เกิดขึ้นในสัปดาห์ก่อนนี้ทำให้ Aave เผชิญความเสี่ยงหนี้เสียที่อาจเกิดขึ้นมูลค่า 124 ล้านถึง 230 ล้านดอลลาร์ภายใน 72 ชั่วโมง TVL ลดลงอย่างหนัก 33% อัตราดอกเบี้ยการกู้ยืมของ USDT และ USDC เพิ่มขึ้นจาก 3.4% เป็น 14% และอัตราดอกเบี้ยการกู้ยืมของ ETH พุ่งแตะระดับสูงสุดในรอบตั้งแต่เดือนมกราคม 2024 ที่ 8%
MarketWhisper2 ชั่วโมง ที่แล้ว
กลุ่ม APT ของเกาหลีเหนือ HexagonalRodent ขโมย $12M ในคริปโทจากนักพัฒนา Web3 ด้วยการโจมตีที่ขับเคลื่อนด้วย AI
ข้อความข่าวประจำ Gate News วันที่ 24 เมษายน — กลุ่ม APT ที่ได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือซึ่งถูกเรียกว่า HexagonalRodent ได้ขโมยสกุลเงินคริปโทและ NFT มูลค่ามากกว่า $12 ล้าน จากนักพัฒนา Web3 ในไตรมาสแรกของปี 2026 ตามรายงานของบริษัทด้านความปลอดภัยไซเบอร์ Expel กลุ่มดังกล่าวบุกรุกอุปกรณ์นักพัฒนาจำนวน 2,726 เครื่อง และได้รับการเข้าถึงกระเป๋าเงินคริปโตจำนวน 26,584 ซึ่งเป็นส่วนหนึ่งของ
GateNews3 ชั่วโมง ที่แล้ว
