Marstech1: Lazarus Group กำลังโจมตีนักพัฒนา! วิธีป้องกันก่อนสายเกินไป

February 21, 2025

Lazarus Group กับปฏิบัติการโจมตีทางไซเบอร์ครั้งใหม่

กลุ่มแฮ็กเกอร์ Lazarus Group ซึ่งเป็นที่รู้จักในฐานะกลุ่มภัยคุกคามขั้นสูง (APT) ที่เกี่ยวข้องกับเกาหลีเหนือ ได้เปิดตัวมัลแวร์ชนิดใหม่ที่มีชื่อว่า Marstech1 โดยมัลแวร์ตัวนี้ถูกออกแบบมาเพื่อ เจาะระบบของนักพัฒนาซอฟต์แวร์ และ แพร่กระจายผ่านแพ็กเกจโอเพนซอร์ส บนแพลตฟอร์ม GitHub และ NPM

นักวิจัยด้านความปลอดภัยทางไซเบอร์ของ SecurityScorecard รายงานว่า Marstech1 เป็นมัลแวร์ประเภท JavaScript Implant ที่สามารถ เก็บข้อมูลระบบ ดักจับข้อมูลสำคัญ และดาวน์โหลดเพย์โหลดเพิ่มเติม เพื่อควบคุมอุปกรณ์ของเหยื่อ

นี่เป็นอีกหนึ่งตัวอย่างของ Supply Chain Attack ที่ Lazarus Group มักใช้ในการโจมตี นักพัฒนา ผู้ดูแลระบบ และองค์กรด้านเทคโนโลยี ซึ่งแสดงให้เห็นถึง ความก้าวหน้าของภัยคุกคามไซเบอร์ในยุคปัจจุบัน

Marstech1 คืออะไร และมันทำงานอย่างไร?

1. คุณสมบัติหลักของ Marstech1 JavaScript Implant

รวบรวมข้อมูลระบบ เช่น IP Address, รายการแอปพลิเคชันที่ติดตั้ง, และข้อมูลเกี่ยวกับเบราว์เซอร์
เข้าถึงและแก้ไขการตั้งค่าเบราว์เซอร์ โดยเฉพาะ Chromium-based browser เช่น Chrome, Edge และ Brave
ตรวจจับและโจมตีกระเป๋าเงินดิจิทัล (Crypto Wallets) เช่น MetaMask, Exodus และ Atomic
ดาวน์โหลดเพย์โหลดเพิ่มเติมจากเซิร์ฟเวอร์ควบคุม (C2 Server) เพื่อเพิ่มความสามารถของมัลแวร์

2. วิธีการแพร่กระจายของ Marstech1

Lazarus Group ใช้วิธีการซับซ้อนในการแพร่กระจาย Marstech1 ผ่านโครงการโอเพนซอร์สปลอมบน GitHub และ NPM นักวิจัยพบว่าแฮ็กเกอร์ใช้บัญชี “SuccessFriend” เพื่ออัปโหลดโค้ดที่ถูกดัดแปลง ซึ่งดูเหมือนจะเป็นโค้ดปกติ แต่จริง ๆ แล้วมี สคริปต์ที่ซ่อนอยู่เพื่อฝังมัลแวร์ลงในเครื่องของเหยื่อ

บัญชีนี้เริ่มใช้งานตั้งแต่ กรกฎาคม 2024 และถูกลบไปแล้วหลังจากมีการเปิดเผยข้อมูล แต่ก่อนหน้านั้น มีเหยื่อที่ได้รับผลกระทบไปแล้วกว่า 200 ราย ในสหรัฐอเมริกา ยุโรป และเอเชีย

ผลกระทบของ Marstech1 ต่อระบบและองค์กร

Marstech1 เป็นภัยคุกคามที่อาจส่งผลร้ายแรงต่อ นักพัฒนา องค์กรด้านเทคโนโลยี และบริษัทที่ใช้โค้ดโอเพนซอร์ส โดยอาจนำไปสู่ผลกระทบดังต่อไปนี้

การรั่วไหลของข้อมูลสำคัญ เช่น ข้อมูลบัญชีผู้ใช้ โค้ดซอร์ส และกุญแจ API
ความเสี่ยงต่อห่วงโซ่อุปทาน (Supply Chain Attack) ทำให้มัลแวร์แพร่กระจายไปยังซอฟต์แวร์อื่น ๆ ที่ใช้โค้ดจากแพลตฟอร์มโอเพนซอร์ส
การขโมยทรัพย์สินดิจิทัล โดยเฉพาะ กระเป๋าเงินคริปโต ที่ตกเป็นเป้าหมายของแฮ็กเกอร์
ความเสียหายทางการเงินและชื่อเสียงขององค์กร

ด้วยเหตุนี้ นักพัฒนาและผู้ดูแลระบบจึงต้องให้ความสำคัญกับการป้องกันภัยคุกคามไซเบอร์มากขึ้น

วิธีป้องกัน Marstech1 และภัยคุกคามจาก Lazarus Group

1. หลีกเลี่ยงการติดตั้งแพ็กเกจที่ไม่น่าเชื่อถือ

ตรวจสอบความน่าเชื่อถือของ โค้ดโอเพนซอร์ส ก่อนนำมาใช้งาน
อ่านรีวิวและตรวจสอบ commit history ของโครงการบน GitHub หรือ NPM

2. ใช้เครื่องมือรักษาความปลอดภัยสำหรับนักพัฒนา

ใช้ Static Code Analysis (SCA) และ Software Composition Analysis (SCA) เพื่อตรวจจับโค้ดอันตราย
ใช้ Antivirus และ Endpoint Detection & Response (EDR) เพื่อตรวจจับพฤติกรรมของมัลแวร์

3. ปรับปรุงการตั้งค่าความปลอดภัยของเบราว์เซอร์และกระเป๋าเงินดิจิทัล

เปิดใช้งาน 2FA (Two-Factor Authentication) สำหรับกระเป๋าเงินดิจิทัล
ใช้ Web3 Firewall เพื่อป้องกันการโจมตีที่เกี่ยวข้องกับ MetaMask และ Wallet อื่น ๆ

4. เฝ้าระวังภัยคุกคามจาก Lazarus Group อย่างต่อเนื่อง

ติดตามข่าวสารจากหน่วยงานด้านความปลอดภัย เช่น CISA, FBI, และ SecurityScorecard
อัปเดตระบบและแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุด

สรุป Lazarus Group ยังคงเป็นภัยคุกคามที่ต้องจับตามอง

การเปิดตัวของ Marstech1 JavaScript Implant เป็นอีกหนึ่งสัญญาณที่บ่งบอกว่า Lazarus Group ยังคงพัฒนากลยุทธ์และเครื่องมือใหม่ ๆ เพื่อ โจมตีนักพัฒนาและองค์กรด้านเทคโนโลยี

Supply Chain Attack ผ่านโอเพนซอร์สเป็นกลยุทธ์ที่มีประสิทธิภาพและอันตรายมากขึ้นเรื่อย ๆ นักพัฒนาซอฟต์แวร์และผู้ดูแลระบบควร เฝ้าระวังและใช้มาตรการป้องกันที่รัดกุม เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีเหล่านี้