สรุปข่าว
- ทีมรักษาความปลอดภัยของ Bybit เปิดเผยแคมเปญมัลแวร์ macOS ที่ใช้การวางยาพิษ SEO เพื่อดันโดเมนอันตรายขึ้นผลการค้นหาคำว่า “Claude Code” พาเหยื่อไปยังหน้าติดตั้งปลอม
- มัลแวร์มุ่งเป้าขโมยข้อมูลกระเป๋าเงินดิจิทัลกว่า 250 ส่วนขยายบนเบราว์เซอร์ รวมถึงพยายามแทนที่แอป Ledger Live และ Trezor Suite ด้วยเวอร์ชันที่ฝังโค้ดอันตราย
- Bybit ระบุโครงสร้างพื้นฐานของผู้โจมตีตั้งแต่ 12 มีนาคม และเพิ่งเปิดเผยผลวิจัยต่อสาธารณะอย่างเป็นทางการเมื่อวันที่ 21 เมษายน 2569 เพื่อเตือนผู้ใช้ทั่วโลก
แนวโน้มผลกระทบต่อราคา Neutral
ข่าวนี้เป็นการเตือนภัยด้านความปลอดภัยที่ไม่ได้กระทบราคาคริปโตโดยตรง แต่สร้างความกังวลในกลุ่มผู้ใช้ macOS ที่ถือกระเป๋าเงินดิจิทัล หากมีรายงานความเสียหายเพิ่มเติมในวงกว้าง อาจส่งผลต่อความเชื่อมั่นในระยะสั้น
ทีมศูนย์ปฏิบัติการความปลอดภัย (SOC) ของ Bybit เปิดเผยผลการวิจัยต่อสาธารณะเมื่อวันที่ 21 เมษายน 2569 เกี่ยวกับแคมเปญมัลแวร์หลายขั้นตอนที่ซับซ้อนบน macOS ซึ่งถูกตรวจพบครั้งแรกตั้งแต่เดือนมีนาคม ตามรายงานจาก CoinDesk ผู้โจมตีใช้การวางยาพิษ SEO เพื่อดันโดเมนอันตรายขึ้นมาอยู่ในอันดับต้น ๆ ของผลการค้นหาคำว่า “Claude Code” ซึ่งเป็นเครื่องมือพัฒนา AI ของ Anthropic จากนั้นเหยื่อจะถูกพาไปยังหน้าติดตั้งปลอมที่ออกแบบให้คล้ายเอกสารอย่างเป็นทางการ เพื่อหลอกให้รันคำสั่งในเทอร์มินัล Bybit ยืนยันว่าระบุโครงสร้างพื้นฐานของผู้โจมตีได้ในวันที่ 12 มีนาคม และดำเนินการบรรเทาผลกระทบเสร็จสิ้นภายในวันเดียวกัน
หน้าติดตั้งปลอมทำงานอย่างไร
จากภาพที่ถูกเผยแพร่ หน้าปลอมถูกโฮสต์บน claudecodeupdate.squarespace.com และมีหน้าตาเลียนแบบหน้าติดตั้งซอฟต์แวร์จริงอย่างแนบเนียน โดยแนะนำให้ผู้ใช้เปิด Terminal แล้วรันคำสั่ง curl ที่ซ่อนโค้ดอันตรายในรูปแบบ Base64 เมื่อถอดรหัสแล้วพบว่าคำสั่งดังกล่าวดาวน์โหลดไฟล์ .dmg จากโดเมน claudecode.app ซึ่งเป็นโดเมนที่ผู้โจมตีควบคุมอยู่ วิธีนี้หลอกล่อผู้ที่คุ้นเคยกับการติดตั้งซอฟต์แวร์ผ่านเทอร์มินัลได้อย่างมีประสิทธิภาพ เพราะขั้นตอนต่าง ๆ ดูเป็นธรรมชาติ
เพย์โหลดเริ่มต้นที่ส่งมาคือ Mach-O dropper ซึ่งติดตั้ง infostealer ที่มีลักษณะคล้ายกับ AMOS และ Banshee ซึ่งเป็นมัลแวร์ที่รู้จักกันในวงการความปลอดภัยว่าเชี่ยวชาญการขโมยข้อมูลบน macOS โดยเฉพาะ นอกจากนี้ยังมีเพย์โหลดขั้นที่สองเป็น C++ backdoor ที่ตรวจจับแซนด์บ็อกซ์ได้ รองรับการควบคุมระยะไกลผ่าน HTTP และฝังตัวอยู่ในระบบแบบถาวร
กระเป๋าคริปโตใดบ้างที่ตกเป็นเป้า
มัลแวร์นี้กำหนดเป้าหมายกว้างมาก ครอบคลุมส่วนขยายกระเป๋าเงินบนเบราว์เซอร์กว่า 250 รายการ รวมถึงแอปพลิเคชันกระเป๋าเงินเดสก์ท็อปหลายตัว นอกจากขโมยข้อมูลกระเป๋าคริปโตแล้ว ยังมุ่งเป้าข้อมูลในเบราว์เซอร์, รายการ macOS Keychain, เซสชัน Telegram, โปรไฟล์ VPN และยังใช้กลอุบายแสดงหน้าต่างขอรหัสผ่าน macOS ปลอมเพื่อดักจับรหัสผ่านของผู้ใช้ด้วย
ที่น่ากังวลเป็นพิเศษคือมัลแวร์พยายามแทนที่แอป Ledger Live และ Trezor Suite บนเครื่องของเหยื่อด้วยเวอร์ชันที่ฝังโค้ดอันตราย ซึ่งเปิดช่องให้ผู้โจมตีดักจับ seed phrase หรือดูธุรกรรมทั้งหมดได้ในภายหลัง Bybit ระบุว่าใช้การวิเคราะห์ที่ขับเคลื่อนด้วย AI ในการตรวจสอบมัลแวร์นี้ ช่วยลดเวลาวิเคราะห์เบื้องต้นจากหลายชั่วโมงเหลือเพียงไม่กี่นาที และลดเวลาตรวจสอบเชิงลึกจาก 6-8 ชั่วโมงเหลือไม่ถึง 40 นาที
ผู้ใช้ macOS ที่เล่นคริปโตควรทำอะไร
สำหรับผู้ใช้ macOS ที่มีกระเป๋าคริปโต สิ่งสำคัญที่สุดคืออย่าดาวน์โหลดซอฟต์แวร์ใด ๆ จากเว็บไซต์ที่ไม่ใช่แหล่งทางการ โดยเฉพาะการหา Claude Code หรือเครื่องมือ AI อื่น ๆ ผ่าน Google ให้พิมพ์ URL โดยตรงหรือเข้าผ่านเว็บไซต์ทางการของ Anthropic เสมอ ไม่ควรรันคำสั่งในเทอร์มินัลที่ได้รับมาจากเว็บไซต์ที่ไม่น่าเชื่อถือ และหากพบว่าแอป Ledger Live หรือ Trezor Suite บนเครื่องมีพฤติกรรมแปลก ควรลบออกและติดตั้งใหม่จากเว็บไซต์ทางการทันที
ส่วนตัวผู้เขียนมองว่าการโจมตีครั้งนี้ฉลาดมากเพราะเลือกใช้ Claude Code ซึ่งเป็นเครื่องมือที่นักพัฒนาและคนทำงานสายเทคโนโลยีเพิ่งให้ความสนใจ กลุ่มนี้มักถือคริปโตจำนวนมากและคุ้นเคยกับการรันคำสั่งในเทอร์มินัล ทำให้โอกาสหลงกลสูงกว่าปกติ สิ่งที่น่าจับตาตอนนี้คือว่ายังมีโดเมนอื่น ๆ ที่ใช้กลยุทธ์แบบเดียวกันอยู่อีกในผลการค้นหาหรือเปล่า เพราะการบรรเทาผลกระทบของ Bybit อาจครอบคลุมแค่โครงสร้างพื้นฐานที่ตรวจพบในเดือนมีนาคม ส่วนตัวแนะนำให้ตรวจสอบรายการ Launch Agent บน macOS ว่ามีอะไรแปลกปลอมหรือเปล่า โดยเฉพาะหากเคยติดตั้งซอฟต์แวร์ผ่าน Terminal ในช่วงหลัง
ที่มา: @CoinDesk
เครดิตภาพจาก @bpaynews
