แฮกเกอร์ตกม้าตาย! ใช้ AI เจนฯ มัลแวร์ขโมยข้อมูล แต่ดันทำรหัสลับหลุดเอง

นักวิจัยด้านความปลอดภัยไซเบอร์จาก OX Security ได้ตรวจพบแพ็กเกจมัลแวร์ตัวใหม่บน npm ซึ่งเป็นเครื่องมือในการจัดการแพ็กเกจที่ถูกเขียนด้วย JavaScript

โดยแพ็กเกจดังกล่าวมีชื่อว่า "mouse5212-super-formatter" มันถูกออกแบบมาเพื่ออัปโหลดไฟล์จากไดเรกทอรี "/mnt/user-data" ซึ่งเป็นโฟลเดอร์เฉพาะที่ Claude ใช้ในการจัดการไฟล์อัปโหลดและผลลัพธ์ในเบื้องหลัง โดยการโจมตีครั้งนี้ได้รับรหัสเรียกขานว่า Malware-Slop

⚫️ มัลแวร์พวกนี้ทำงานยังไง?

มัลแวร์จะพรางตัวให้ดูเหมือนเครื่องมือสำหรับช่วยจัดระเบียบ และซิงก์ข้อมูลโครงสร้างของคลังเก็บรหัสบน GitHub แต่ในความเป็นจริง ทันทีที่ถูกติดตั้งเสร็จแล้ว มันจะเริ่มทำการเจาะข้อมูลทันที

โดยมัลแวร์จะเข้าทำการลักลอบโอนย้ายข้อมูล จากนั้นจึงสั่งอัปโหลดไฟล์ทั้งหมดที่เกี่ยวข้องกับการใช้งาน Claude AI จากเครื่องของเหยื่อขึ้นไปยังบัญชี GitHub ของผู้โจมตีอย่างต่อเนื่องในลักษณะสุ่มชื่อโฟลเดอร์

เพื่อเป็นการปกปิดร่องรอยและหลีกเลี่ยงการตรวจจับจากผู้ใช้งานหรือผู้ดูแลระบบ มัลแวร์ตัวนี้จะเขียนบันทึกประวัติ (Log) ปลอมเกี่ยวกับการเชื่อมต่อเครือข่ายขึ้น พื่อให้ผู้ดูแลระบบเข้าใจผิดว่าเป็นเพียงการส่งข้อมูลวินิจฉัยตามปกติ ทั้งที่ในความเป็นจริงแล้วเป็นการลักลอบรวบรวมและส่งออกข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต

⚫️ ใช้ AI ช่วยสร้างมัลแวร์ แต่ขาดความรัดกุม

จุดที่น่าสังเกตอย่างยิ่งของเคสนี้คือ ตัวมัลแวร์ได้ทำข้อมูล Private Token ของผู้โจมตีหลุดออกมาด้วย ทำให้นักวิจัยสามารถแกะรอยกลับไปได้โดยง่าย

ทำให้ผู้เชี่ยวชาญตั้งข้อสันนิษฐานว่า ผู้ไม่ประสงค์ดีอาจใช้เทคโนโลยี AI ในการช่วยเขียนโค้ดมัลแวร์ขึ้นมา ซึ่งช่วยให้สร้างโปรแกรมโจมตีได้อย่างรวดเร็ว แต่ตัวผู้ใช้งานกลับขาดความรัดกุมด้านความปลอดภัยในการดำเนินงานขั้นพื้นฐาน จึงส่งผลให้เกิดความผิดพลาดในลักษณะดังกล่าว

ปัจจุบัน แพ็กเกจดังกล่าวถูกนำออกจาก npm แล้ว และมียอดดาวน์โหลดสะสมประมาณ 676 ครั้ง ส่วนบัญชี GitHub ที่เชื่อมโยงกับแคมเปญนี้ไม่สามารถใช้งานได้แล้ว แม้ทาง OX Security จะตั้งข้อสังเกตว่า บัญชีดังกล่าวเพิ่งถูกสร้างขึ้นเมื่อวันที่ 26 พฤษภาคม 2026 เพียงไม่กี่ชั่วโมงก่อนที่มัลแวร์เวอร์ชันแรกจะถูกอัปโหลดขึ้น npm