สรุปสั้น

นักวิจัยด้านความปลอดภัยจาก EclecticIQ เปิดเผยเมื่อวันที่ 21 พฤษภาคม พ.ศ. 2569 ว่า กลุ่มผู้โจมตีสร้างเว็บไซต์ปลอมที่เลียนแบบ Google Gemini CLI และ Anthropic Claude Code แล้วใช้เทคนิค SEO poisoning ดันอันดับให้ปรากฏเหนือเว็บไซต์จริงในผลค้นหา เมื่อเหยื่อเข้าเว็บปลอมและรัน PowerShell command ตามคำแนะนำบนหน้าเว็บ จะดาวน์โหลด infostealer ที่ทำงานในหน่วยความจำทั้งหมดผ่าน PowerShell โดยขโมย credentials จากเบราว์เซอร์ทั้ง Chromium และ Firefox, session cookies ของ Slack, Microsoft Teams, Zoom, Discord, Telegram Desktop รวมถึง cryptocurrency wallets และไฟล์ cloud storage แคมเปญมุ่งเป้าผู้ใช้ในสหรัฐอเมริกาและสหราชอาณาจักร โดยใช้โดเมน .co.uk, .us.com และ .us.org

รายละเอียดข่าว

เว็บไซต์ Infosecurity Magazine รายงานเมื่อวันที่ 22 พฤษภาคม พ.ศ. 2569 ว่า นักวิจัยจาก EclecticIQ ได้สืบสวนแคมเปญที่สร้างเว็บไซต์ปลอมเลียนแบบเครื่องมือ AI coding ยอดนิยม หลังจากนักวิจัยอิสระ @g0njxa แจ้งเตือนบน X เมื่อวันที่ 21 เมษายน

ผู้โจมตีเริ่มลงทะเบียนโดเมนอันตรายตั้งแต่ต้นเดือนมีนาคม พ.ศ. 2569 โดยสร้างเว็บไซต์ที่ดูเหมือนหน้าติดตั้งอย่างเป็นทางการของ Gemini CLI (geminicli[.]co[.]com) และ Claude Code (claudecode[.]co[.]com) จากนั้นใช้ SEO poisoning ให้โดเมนปลอมปรากฏเหนือผลค้นหาจริง

ความคล้ายคลึงของทั้งสอง attack chain บ่งชี้ว่าเป็นผู้โจมตีกลุ่มเดียวกันที่อยู่เบื้องหลังทั้งสองแคมเปญ

วิธีการโจมตี

เหยื่อที่เข้าเว็บปลอมจะเห็นหน้าติดตั้งที่ดูเหมือนเอกสารอย่างเป็นทางการ พร้อมคำสั่ง PowerShell ให้คัดลอกไปรันในเทอร์มินัล เมื่อรันคำสั่ง ระบบจะดาวน์โหลด infostealer จากเซิร์ฟเวอร์ payload (gemini-setup[.]com หรือ claude-setup[.]com)

Infostealer ทำงานในหน่วยความจำทั้งหมดผ่าน PowerShell โดยขโมยข้อมูลจากหลายแหล่ง:

เบราว์เซอร์ — login credentials, session cookies, autofill data และ form history จาก Chrome, Edge, Brave และ Firefox

แพลตฟอร์มสื่อสาร — Slack (local state key และ cookies), Microsoft Teams (EBWebView cache cookies พร้อม DPAPI decryption), Discord (LevelDB files), Mattermost, Zoom (win_osencrypt_key จาก Zoom.us.ini), Telegram Desktop (tdata session) รวมถึง LiveChat, Notion และ Zoho Mail Desktop

อื่นๆ — remote access tools, OpenVPN config, cryptocurrency wallets, cloud storage (Proton Drive, iCloud Drive, Google Drive, MEGA, OneDrive) และ system metadata

ข้อมูลที่ขโมยถูกเข้ารหัสแล้วส่งไปยัง C2 server (events[.]msft23[.]com สำหรับ Gemini และ events[.]ms709[.]com สำหรับ Claude Code)

ผลกระทบต่อไทย

Gemini และ Claude Code เป็นเครื่องมือ AI coding ที่นักพัฒนาไทยเริ่มใช้กันมากขึ้น โดยเฉพาะ Claude Code ที่เป็นเครื่องมือ command line สำหรับเขียนโค้ด การที่ผู้โจมตีใช้ SEO poisoning ทำให้เว็บปลอมขึ้นอันดับแรกในผลค้นหา นักพัฒนาที่ค้นหาวิธีติดตั้งเครื่องมือเหล่านี้อาจเข้าเว็บปลอมโดยไม่รู้ตัว หากรัน PowerShell command ตามคำแนะนำ session cookies ของ Slack, Teams และ Zoom ที่ใช้ในการทำงานจะถูกขโมย ทำให้ผู้โจมตีเข้าถึง workspace ขององค์กรได้ทั้งหมด

คำแนะนำ

  1. ดาวน์โหลด Gemini CLI และ Claude Code จากเว็บไซต์อย่างเป็นทางการเท่านั้น (ai.google.dev และ docs.anthropic.com) ตรวจสอบ URL ให้แน่ใจก่อนรันคำสั่งใดๆ
  2. ห้ามคัดลอก PowerShell command จากเว็บไซต์ที่ไม่แน่ใจว่าเป็นของจริง ตรวจสอบ URL โดเมนทุกครั้ง
  3. บล็อกโดเมนที่เกี่ยวข้อง ได้แก่ geminicli[.]co[.]com, gemini-setup[.]com, claudecode[.]co[.]com, claude-setup[.]com, events[.]msft23[.]com และ events[.]ms709[.]com
  4. หากสงสัยว่าเคยรัน command จากเว็บปลอม ให้เปลี่ยนรหัสผ่านทุกบริการ ล็อกเอาต์ session ทั้งหมดของ Slack, Teams, Discord และ Zoom ทันที
  5. แจ้งเตือนทีมพัฒนาในองค์กรให้ระวังเทคนิค SEO poisoning ที่เลียนแบบเครื่องมือ AI coding

แหล่งอ้างอิง