ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
แคมเปญ ‘TrapDoor’ ถูกเปิดโปงว่าซ่อน ‘มัลแวร์’ ไว้หลังการแจ้งเตือนแบบตรวจความปลอดภัยปลอม โดยไม่ได้มุ่งเป้าแค่กระเป๋าเงินคริปโตและรหัสผ่านเท่านั้น แต่ยังหลอกใช้งานเครื่องมือช่วยเขียนโค้ดด้วย AI อย่างคล로드(Claude) และเคอร์เซอร์(Cursor) เพื่อดูดข้อมูลสำคัญจากอุปกรณ์ของนักพัฒนา ตั้งแต่คริปโตวอลเล็ต ไปจนถึงโทเคนเข้าถึงแพลตฟอร์มต่างๆ การโจมตีครั้งนี้กลายเป็นสัญญาณเตือนแรงต่อทั้งวงการคริปโตและระบบนิเวศของนักพัฒนา
เมื่อวันอาทิตย์ที่ผ่านมา บริษัทความปลอดภัยไซเบอร์ ‘ซ็อกเก็ต(Socket)’ เปิดเผยผลการสืบสวนว่า แคมเปญ TrapDoor ถูกออกแบบให้หลอกเครื่องมือ AI ว่าเป็น “คำสั่งตรวจความปลอดภัยปกติ” ก่อนจะสั่งให้รันโค้ดที่แอบส่ง ‘ค่าลับ’ ภายในเครื่อง เช่น คีย์, โทเคน และข้อมูลล็อกอิน ออกไปยังเซิร์ฟเวอร์ของผู้โจมตี ซ็อกเก็ตระบุว่าพบกิจกรรมต้องสงสัยตั้งแต่วันศุกร์ และเริ่มติดตามจนโยงไปสู่ชุดแพ็กเกจอันตรายจำนวนมากในแหล่งเก็บโค้ดยอดนิยม
ซ็อกเก็ตพบว่ามีแพ็กเกจอันตรายแล้วอย่างน้อย 34 รายการ และรวมทุกเวอร์ชันย่อยแล้วมากถึง 384 เวอร์ชัน แพร่กระจายอยู่ใน npm, PyPI และ Crates ซึ่งเป็นแพ็กเกจรีจิสทรีหลักของนักพัฒนา JavaScript, Python และ Rust ผู้โจมตีคอยอัปเดตเวอร์ชันใหม่อย่างต่อเนื่องเพื่อขยายวงแพร่กระจายและหลบเลี่ยงการตรวจจับจากระบบสแกนแบบอัตโนมัติ
เป้าหมายของ TrapDoor ครอบคลุมวงการคริปโตแทบทุกด้าน ข้อมูลกระเป๋าเงินจากแพลตฟอร์มรายใหญ่ เช่น คอยน์เบส(Coinbase), ไบแนนซ์(Binance), โซลานา(SOL), ซุย(SUI), แอบทอส(APT) รวมถึงกระเป๋ายอดนิยมอย่างเมตามาสก์(MetaMask) ต่างถูกระบุว่าเป็นเป้าหมาย นอกจากนี้ยังมีข้อมูลจากเบราว์เซอร์เบรฟ(Brave), คีย์ SSH, ข้อมูลเข้าสู่ระบบคลาวด์, โทเคน GitHub, ข้อมูลส่วนขยายเบราว์เซอร์ และคีย์ API ซึ่งล้วนเป็นช่องทางเข้าถึงโครงสร้างพื้นฐานสำคัญของโปรเจกต์คริปโตและดีฟาย
เทคนิคการปลอมตัวของ TrapDoor ก็ถูกวิเคราะห์ว่าค่อนข้างแนบเนียน แพ็กเกจหลายตัวถูกตั้งชื่อและออกแบบให้ดูเหมือน ‘เครื่องมือสำหรับนักพัฒนา’ ตามปกติ เช่น ยูทิลิตี้ตั้งค่าโปรเจกต์เริ่มต้น, เครื่องมือช่วยทำพรอมต์สำหรับ AI, ไลบรารีเสริมงานคอมไพล์/บิลด์สำหรับโซลิดิตี้(Solidity) หรือเครื่องมือเกี่ยวกับการพัฒนาบนซุย(SUI) ทำให้นักพัฒนาสามารถติดตั้งผ่านขั้นตอนปกติได้ง่าย โดยไม่ทันสังเกตว่ามีโค้ดแปลกปลอมซ่อนอยู่ด้านใน
อาหมัด นัสรี(Ahmad Nassri) ประธานเจ้าหน้าที่เทคโนโลยีของซ็อกเก็ต ระบุว่า จากการไล่ดูประวัติการคอมมิตและโค้ดบน GitHub มี ‘ร่องรอยของโค้ดที่สร้างโดย AI’ ปรากฏอยู่ในหลายจุด ตั้งแต่เทมเพลตด้านความปลอดภัยที่ถูกนำมาใช้ซ้ำอย่างกว้างขวาง ไปจนถึงรีโพซิทอรียุยงล่อเป้า (decoy repositories), โปรเจกต์แนวไอเดียที่ยังไม่เสร็จ และส่วนประกอบที่ทำงานได้จริงซึ่งฝังโค้ดอันตรายไว้ แสดงให้เห็นว่าผู้โจมตีเองก็อาศัย AI เป็นเครื่องมือช่วยประกอบแคมเปญนี้เช่นกัน
แคมเปญ TrapDoor ยังโผล่ขึ้นมาในจังหวะอ่อนไหว หลังจากกิตฮับ(GitHub) เพิ่งเปิดเผยเมื่อวันที่ 20 ว่าพบการเข้าถึงคลังเก็บโค้ดภายในโดยไม่ได้รับอนุญาต ซึ่งเริ่มมาจากการที่อุปกรณ์ของพนักงานถูกเจาะ ซ็อกเก็ตชี้ว่าลำดับเหตุการณ์ดังกล่าวอาจสะท้อน ‘ห่วงโซ่เชื่อมโยง’ ของการโจมตีต่อซัพพลายเชนซอฟต์แวร์ แม้ยังไม่มีการยืนยันว่าเหตุการณ์ทั้งสองเกี่ยวข้องกันโดยตรง แต่ช่วงเวลาที่ใกล้กันทำให้ภาคอุตสาหกรรมจับตาอย่างใกล้ชิด
ซ็อกเก็ตประเมินว่า TrapDoor เป็นการโจมตีเชิงองค์กรที่เล็งตรงไปยังนักพัฒนาในสายคริปโต, ดีฟาย, AI และด้านความปลอดภัยโดยเฉพาะ กลุ่มผู้ใช้งานเหล่านี้มักจัดการกับสิทธิ์เข้าถึงระดับสูง คีย์สำคัญ และกระเป๋าเงินมูลค่าสูง จึงทำให้ ‘แพ็กเกจเดียว’ ที่ถูกติดตั้งในเครื่องพัฒนา อาจกลายเป็นประตูเชื่อมไปยังระบบโปรดักชัน, โครงสร้างพื้นฐานคลาวด์ และวอลเล็ตของผู้ใช้ปลายทางจำนวนมาก
ในช่วงที่เครื่องมือช่วยพัฒนาโค้ดด้วย AI กำลังถูกใช้อย่างแพร่หลาย เหตุการณ์ TrapDoor กลายเป็นตัวอย่างชัดเจนว่าการโจมตีซัพพลายเชนซอฟต์แวร์กำลัง ‘ละเอียดและซับซ้อนขึ้นเรื่อยๆ’ ทั้งการปลอมตัวเป็นยูทิลิตี้ที่ดูน่าเชื่อถือ การใช้ AI ช่วยผลิตโค้ด และการกระจายมัลแวร์ผ่านรีจิสทรีแพ็กเกจยอดนิยม ‘ความคิดเห็น’ ผู้เชี่ยวชาญด้านความปลอดภัยชี้ว่า นักพัฒนาสายคริปโตจำเป็นต้องเพิ่มชั้นการตรวจสอบตั้งแต่ขั้นตอนติดตั้งแพ็กเกจ ตรวจสอบที่มาของโค้ด, อ่านสคริปต์ postinstall, ใช้เครื่องมือสแกนซัพพลายเชน และแยกสภาพแวดล้อมพัฒนาออกจากระบบเก็บคีย์และกระเป๋าเงินจริงให้ชัดเจน เพื่อลดความเสี่ยงจากการรั่วไหลของข้อมูลสำคัญในอนาคต
ความคิดเห็น 0