เตือนภัย! แฮกเกอร์ปลอม Repository บน GitHub หลอกนักพัฒนาและผู้ใช้ทั่วไป ให้โหลดแล้วแพร่มัลแวร์
นักวิจัยด้านความปลอดภัยจากพบแคมเปญการโจมตีรูปแบบใหม่ที่อาศัย GitHub เป็นช่องทางในการกระจายมัลแวร์ SmartLoader โดยแฮกเกอร์จะสร้าง Repository ปลอมขึ้นมาให้ดูเหมือนเป็นโครงการซอฟต์แวร์ที่น่าสนใจและดูถูกต้องไม่มีพิษภัย ไม่ว่าจะเป็นโปรแกรมช่วยเล่นเกม ซอฟต์แวร์แครก หรือเครื่องมืออัตโนมัติ โดยใน Repository จะมีการจัดโครงสร้างและใส่ไฟล์ README.md ที่เขียนอย่างมืออาชีพ เพื่อสร้างความน่าเชื่อถือ ก่อนจะปล่อยไฟล์ดาวน์โหลดบนหน้า Releases ให้ผู้ใช้หลงเชื่อกดติดตั้ง
กลไกการทำงานของ SmartLoader
เมื่อเหยื่อดาวน์โหลดไฟล์ ZIP มาติดตั้ง มัลแวร์ SmartLoader จะถูกเรียกใช้งานผ่านสคริปต์ batch และฝังตัวในระบบทันที มันจะคัดลอกไฟล์ไปยังโฟลเดอร์ AppData และสร้าง Task Scheduler ปลอม เพื่อให้รันอัตโนมัติทุกครั้งที่เปิดเครื่อง นอกจากนี้ SmartLoader ยังสามารถเก็บข้อมูลระบบ ถ่ายภาพหน้าจอ และส่งกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ จากนั้นจะดาวน์โหลดมัลแวร์เพิ่มเติมเข้ามา เช่น Lumma Stealer, RedLine และ Rhadamanthys ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่สามารถดึงรหัสผ่าน ข้อมูลเบราว์เซอร์ รวมถึงกระเป๋าเงินคริปโตของผู้ใช้ได้
ความเสี่ยงและข้อควรระวัง
แม้ GitHub จะมีระบบสแกนและมาตรการรักษาความปลอดภัย แต่ด้วยความเป็นแพลตฟอร์มแบบเปิดที่ใครก็สามารถสร้าง Repository ได้ ทำให้โครงการปลอมเหล่านี้มักเล็ดรอดออกมาและแพร่กระจายต่อไปยังผู้ใช้ที่ไม่ทันระวัง อันตรายที่เกิดขึ้นคือทั้งผู้ใช้ทั่วไปและนักพัฒนาอาจตกเป็นเป้าหมายของการขโมยข้อมูลส่วนตัวและข้อมูลทางการเงิน รวมถึงอาจนำมัลแวร์เข้าสู่ระบบขององค์กรโดยไม่รู้ตัว ทางที่ดีควรดาวน์โหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้เท่านั้น ตรวจสอบความน่าเชื่อถือของ Repository ทุกครั้ง และหมั่นอัปเดตระบบป้องกันภัยไซเบอร์อยู่เสมอ