เจาะระบบได้แม้ไม่มีช่องโหว่ — เบื้องหลังการโจมตีแบบ 'อาศัยความเชื่อใจ' ที่มุ่งเป้านักพัฒนาโอเพนซอร์ส

นักพัฒนาโอเพนซอร์สกำลังเผชิญกับภัยคุกคามรูปแบบใหม่ ไม่ใช่การโจมตีด้วย exploit ที่ซับซ้อนหรือช่องโหว่ zero-day แต่เป็นการโจมตีแบบ social engineering ที่ใช้ "ความเชื่อใจ" ในชุมชนนักพัฒนาเป็นอาวุธโดยตรง

ขณะนี้ผู้โจมตีกำลังดำเนินแคมเปญบน Slack โดยปลอมตัวเป็นบุคคลที่มีตัวตนจริงจาก Linux Foundation เพื่อหลอกให้เหยื่อติดตั้งไฟล์อันตราย

ลำดับเหตุการณ์

การโจมตีนี้ถูกเปิดเผยครั้งแรกเมื่อวันที่ 7 เมษายน 2026 หลังจาก Christopher "CRob" Robinson ซึ่งเป็น CTO และหัวหน้าสถาปนิกด้านความปลอดภัยของ OpenSSF (Open Source Security Foundation) โพสต์คำเตือนความเสี่ยงสูงลงในเมลลิงลิสต์ OpenSSF Siren

เวทีของการโจมตีคือ Slack workspace ของ TODO Group ซึ่งเป็น working group ภายใต้ Linux Foundation รวมถึงคอมมูนิตี้โอเพนซอร์สที่เกี่ยวข้อง TODO Group เป็นกลุ่มของผู้ปฏิบัติงานด้าน Open Source Program Office (OSPO)

ผู้โจมตีสร้างตัวตนปลอมของผู้นำ Linux Foundation ที่เป็นที่รู้จักอย่างแนบเนียน และส่ง Slack DM ไปยังเหยื่อพร้อมลิงก์ฟิชชิงที่โฮสต์อยู่บน Google Sites ซึ่งเป็นแพลตฟอร์มที่นักพัฒนาจำนวนมากไว้วางใจ

ทีมวิเคราะห์ของ Socket.dev เป็นผู้ตรวจสอบการโจมตีนี้เป็นกลุ่มแรกและบันทึกพฤติกรรมทางเทคนิคเอาไว้ ผลการตรวจสอบยืนยันว่า นี่ไม่ใช่แค่ความพยายามฟิชชิงธรรมดา แต่เป็น ปฏิบัติการหลายขั้นตอน ที่ออกแบบมาเพื่อฉวยประโยชน์จากความเชื่อใจอันลึกซึ้งซึ่งก่อตัวขึ้นตามธรรมชาติภายในคอมมูนิตี้โอเพนซอร์ส

เหยื่อล่อ: "เราบอกได้ล่วงหน้าว่า PR ของคุณจะถูก merge หรือไม่"

ข้อความของผู้โจมตีถูกออกแบบมาอย่างพิถีพิถัน โดยผู้โจมตีที่แอบอ้างเป็นผู้นำ Linux Foundation อ้างว่าได้สร้างเครื่องมือ AI แบบ proprietary ที่สามารถวิเคราะห์พลวัตของโปรเจกต์โอเพนซอร์ส และ คาดการณ์ได้ว่าการมีส่วนร่วมของโค้ดใด (PR) จะถูก merge ก่อนที่ reviewer จะได้เห็นเสียอีก

ข้อความดังกล่าวเน้นความหายากด้วยคำว่า "ตอนนี้แชร์ให้แค่ไม่กี่คน" และให้ทั้งอีเมลปลอมกับ access key มาพร้อมลิงก์ฟิชชิง เพื่อทำให้ workspace ปลอมดูเหมือนของจริง

วิเคราะห์ขั้นตอนการโจมตี

การโจมตีดำเนินไปทั้งหมด 4 ขั้นตอน:

ขั้นที่ 1 — ปลอมแปลงตัวตน (Impersonation)

คัดลอกโปรไฟล์ Slack ของบุคคลจริงใน Linux Foundation เพื่อสร้างความน่าเชื่อถือ

ขั้นที่ 2 — ฟิชชิง (Phishing)

หลอกให้คลิกลิงก์ฟิชชิงที่โฮสต์บน Google Sites หน้าเว็บปลอมที่ดูเหมือนขั้นตอนการยืนยันตัวตนตามปกติจะขโมยอีเมลและรหัสยืนยัน

ขั้นที่ 3 — เก็บข้อมูลรับรอง (Credential Harvesting)

หลังจากขโมยข้อมูลรับรองได้แล้ว เว็บไซต์ฟิชชิงจะชักจูงให้เหยื่อติดตั้ง root certificate อันตราย ที่ปลอมตัวเป็น "ใบรับรอง Google"

ขั้นที่ 4 — ส่งมอบมัลแวร์ (Malware Delivery)

เมื่อมีการติดตั้ง root certificate แล้ว ผู้โจมตีจะสามารถ ดักจับทราฟฟิกที่เข้ารหัสระหว่างอุปกรณ์ของเหยื่อกับทุกเว็บไซต์ได้อย่างเงียบ ๆ

กลไกการติดเชื้อแยกตามแพลตฟอร์ม

macOS

หลังติดตั้ง root certificate อันตราย สคริปต์จะดาวน์โหลดและรันไบนารีชื่อ gapi จาก IP ระยะไกล (2.26.97.61) โดยอัตโนมัติ ไบนารีนี้เปิดทางให้ผู้โจมตี ควบคุมอุปกรณ์ได้อย่างสมบูรณ์ รวมถึงเข้าถึงไฟล์ ขโมยข้อมูลรับรองเพิ่มเติม และสั่งรันคำสั่งจากระยะไกล

Windows

จะล่อให้ติดตั้งใบรับรองอันตรายผ่าน browser trust dialog และหลังติดตั้งแล้วก็จะสามารถดักจับทราฟฟิกที่เข้ารหัสได้เช่นเดียวกัน

คำแนะนำจาก OpenSSF

OpenSSF แนะนำให้นักพัฒนาที่ใช้งานอยู่ในคอมมูนิตี้ Slack ของโอเพนซอร์สปฏิบัติดังนี้:

1. ยืนยันตัวตนผ่านช่องทางอื่น (out-of-band): อย่าเชื่อถือเพียงชื่อที่แสดงหรือรูปโปรไฟล์บน Slack แต่ให้ตรวจสอบผ่านช่องทางอื่นที่รู้จักอยู่แล้ว
2. ปฏิเสธคำขอติดตั้ง root certificate: อย่าติดตั้ง root certificate จากลิงก์ที่ส่งมาทางแชตหรืออีเมลโดยเด็ดขาด บริการปกติจะไม่ร้องขอเช่นนี้
3. เปิดใช้ MFA: แม้ข้อมูลรับรองจะถูกขโมย ก็ยังช่วยลดความเสียหายได้

นัยสำคัญ

การโจมตีครั้งนี้น่าจับตาเพราะไม่ได้อาศัยช่องโหว่ทางเทคนิค แต่ใช้ โครงสร้างความเชื่อใจของคอมมูนิตี้เอง เป็นเวกเตอร์การโจมตี ยิ่งเป็นคอมมูนิตี้ที่ใกล้ชิดกันอย่างระบบนิเวศโอเพนซอร์สมากเท่าไร ก็ยิ่งมีโอกาสที่สัญชาตญาณด้านความปลอดภัยจะลดลงเมื่อเจอกับชื่อที่คุ้นเคยและข้อเสนอที่ดูน่าเชื่อถือ

เหยื่อล่ออย่าง "ใช้ AI ทำนายว่า PR จะถูก merge หรือไม่" ก็แสดงให้เห็นถึงความแนบเนียนของการโจมตีนี้ เพราะเป็นข้อเสนอที่อาจดึงดูดนักพัฒนาได้อย่างมาก เมื่อต้องเจอกับลิงก์ที่ไม่คุ้นเคยและคำขอให้ติดตั้ง root certificate ต่อให้ดูเหมือนมาจากแหล่งที่เชื่อถือได้ ก็จำเป็นต้องมีนิสัยตั้งข้อสงสัยอีกครั้งเสมอ

บทความนี้แปลและเรียบเรียงจาก ต้นฉบับของ Cyber Security News.