แฮกเกอร์ใช้ AI สร้างมัลแวร์ลอบขุดคริปโตบน Linux ซ่อนตัวในรูปหมีแพนด้า

เวลาที่มีการส่งรูปให้ โดยทั่วไปมักจะมองว่าไม่มีพิษมีภัยเพราะคิดว่าไฟล์รูปไม่สามารถซ่อนอะไรอย่างอื่นไว้ภายในได้ แต่แท้จริงแล้วมีการใช้ไฟล์รูปหลากนามสกุลในการแพร่กระจายมัลแวร์ ไม่เว้นแม้แต่ไฟล์ JPG

จากรายงานโดยเว็บไซต์ CSO ได้กล่าวถึงการตรวจพบแคมเปญในการแพร่กระจายมัลแวร์ตัวใหม่ Koske ซึ่งเป็นมัลแวร์ประเภทใช้ทรัพยากรเครื่องของเหยื่อในการขุดเหรียญคริปโตเคอร์เรนซี หรือ Crypto Miner ที่มุ่งเน้นไปยังกลุ่มผู้ใช้งานระบบปฏิบัติการ Linux โดยทีมนักวิจัยจาก Aqua Security บริษัทผู้เชี่ยวชาญด้านการพัฒนาโซลูชันด้านความปลอดภัยบนคลาวด์ ซึ่งทางทีมวิจัยได้ระบุว่า มัลแวร์ตัวดังกล่าวนั้นมีความพิเศษ ที่เรียกว่าเป็นจุดเด่นอยู่ 2 ประการนั่นคือ

ประการแรกนั้น มัลแวร์ Koske หลังจากที่ทางทีมวิจัยได้ตรวจสอบโค้ดภายในแล้วพบว่ามีคุณลักษณะหลายอย่างที่บ่งชี้ถึงการที่ทีมพัฒนาได้นำเอาระบบ AI แบบโมเดลภาษาขนาดใหญ่ (LLM หรือ Large Language Model) เข้ามาช่วยในการสร้างมัลแวร์ดังกล่าวขึ้นมา ซึ่งแสดงให้เห็นถึงการปรับตัวของกลุ่มผู้พัฒนามัลแวร์ที่นำเอา AI เข้ามาช่วยเหลือในการพัฒนาให้ตัวมัลแวร์นั้นมีความแข็งแกร่ง และความสามารถที่สูงกว่าที่เคยเป็นมา

อีกประการคือ มัลแวร์ Koske ตัวใหม่นี้มีการใช้งานไฟล์ JPG เป็นพาหะในการเข้าถึงตัวระบบของเหยื่อ ด้วยการอาศัยช่องโหว่การตั้งค่าที่ผิดพลาด (Misconfiguration) JupyterLab Instance เพื่อเปิดช่องให้เหยื่อดาวน์โหลดไฟล์รูปภาพในรูปแบบ Polyglot JPG จาก URL ที่ถูกทำให้สั้นลง (Shortened URL) จำนวน 2 รูป โดยรูปภาพ JPG ประเภทดังกล่าวนี้มีความสามารถที่เปิดช่องให้เหยื่อสามารถซ่อนมัลแวร์ (Payload) ไว้ภายในได้ โดยทางทีมวิจัยนั้นไม่ได้มีการระบุรหัส CVE หรือแม้แต่รายละเอียดทางเทคนิคว่า การตั้งค่าดังกล่าวมีความผิดพลาดอย่างไรเอาไว้แต่อย่างใด โดยทางทีมวิจัยระบุไว้ว่าง ทางทีมมุ่งเน้นไปยังด้านการตรวจสอบการทำงานหลังจากที่มัลแวร์เข้าสู่เครื่องไปแล้ว เนื่องจากว่าไม่ว่าจะมุ่งเน้นการตรวจสอบช่องทางที่มัลแวร์เข้ามามากเพียงใด ตัวมัลแวร์ก็จะยังสามารถหาช่องเข้ามาบนระบบได้อยู่ดี

แต่แหล่งข่าวก็ได้คาดการณ์ไว้ว่า ช่องโหว่ดังกล่าวนี้น่าจะเป็นช่องโหว่ที่มีรหัสว่า CVE-2025-30370 ซึ่งเป็นช่องโหว่ที่อยู่บนส่วนเสริมของ JupyterLab-git ที่ส่งผลให้แฮกเกอร์สามารถทำการยิงคำสั่ง (Command Injection) ซึ่งจะส่งผลให้แฮกเกอร์สามารถสร้างฐานสำหรับการปล่อยมัลแวร์ตัวหลักลงบนระบบของเหยื่อได้

หลังจากที่ตัวมัลแวร์ถูกรันขึ้นมาแล้ว ตัวโค้ดภาษา C และ ShellScript จะถูกดึงออกมาจากรูปหมีแพนด้าที่แฮกเกอร์ส่งมา โดยจะเป็นการรันบนหน่วยความจำโดยตรง (In-Memory) ทำให้สามารถฝ่าระบบป้องกันส่วนมากบนเครื่องของเหยื่อได้โดยงาน ทั้งยังไม่สามารถถูกตรวจพบบนฮาร์ดดิสก์ได้อีกด้วย เนื่องจากว่าไม่ได้ถูกบันทึกไว้บนฮาร์ดดิสก์เลย

นอกจากนั้นมัลแวร์ตัวนี้ยังมีเทคนิคในการคงอยู่บนระบบ และหลบเลี่ยงการถูกตรวจจับที่หลากหลาย เช่นการเข้ายึดไฟล์ตั้งค่าที่ถูกซ่อนการมองเห็น (Hidden) ซึ่งปกติถูกใช้งานโดย Bash Shell เพื่อนำเอามาเป็นเครื่องมือในการควบคุมดูแลการสื่อสารระหว่างตัวมัลแวร์และเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อสร้างความคงอยู่บนระบบ (Persistence) ให้มั่นใจว่ามัลแวร์จะรันบนระบบได้ตลอดเวลา

นอกจากนั้นยังมีการใช้งาน Rootkit ซึ่งเป็นชุดเครื่องมือของมัลแวร์ในการเข้าถึงพื้นที่ของระบบที่มักถูกจำกัดการเข้าถึง โดย Rootkit ที่ถูกเขียนขึ้นด้วยภาษา C ตัวนี้จะเข้ายึดฟังก์ชัน Sytem Call ซึ่งใช้ในการอ่านคอนเทนต์ที่อยู่ในโฟลเดอร์ต่าง ๆ ที่มีชื่อว่า readdir() เพื่อปิดบังไม่ให้ระบบตรวจพบไฟล์และ Process ที่เกี่ยวข้องกับมัลแวร์ที่มีชื่ออย่าง “Koske” หรือ “hideproc” ไม่เพียงเท่านั้น ตัวมัลแวร์ยังทำการลงทะเบียนตัวเองเป็น Service ที่ทำงานอยู่ในฉากหลัง (Background Service) และมีการใช้ Task Scheduling เพื่อสั่งการให้มัลแวร์ทำงานใหม่อัตโนมัติ เรียกได้ว่าเป็นมัลแวร์ซึ่งถูกสร้างจาก AI ที่ทำงานได้อย่างร้ายกาจเลยทีเดียว

ทางทีมวิจัยได้แนะนำวิธีการป้องกันและจัดการกับตัวมัลแวร์มาบางส่วน ซึ่งเป็นเทคนิคที่ต้องอาศัยความเชี่ยวชาญเชิงเทคนิคในการจัดการ เช่น การค่อยตรวจสอบการดัดแปลงในส่วนของ Bash และ การถูกแก้ไขในส่วนของ DNS, การบล็อกการรันของไฟล์ที่มาในรูปแบบ Polyglot และ Rootkit ที่ถูกซ่อนการมองเห็น ซึ่งอาจพิจารณานำเอาวิธีการป้องกันแบบ Drift Prevention มาใช้งานในการจัดการกับข้อหลัง เป็นต้น