สรุปสั้น

แฮ็กเกอร์กำลังซ่อนโทรจันขโมยข้อมูลไว้ในโค้ดเจาะช่องโหว่ปลอมที่เล็งเป้าไปยังคนที่ล่าบั๊กเป็นอาชีพ มัลแวร์ที่ชื่อ ChocoPoC เดินทางผ่านรีโป proof-of-concept (PoC) ภาษา Python บน GitHub ที่อ้างว่าเจาะ CVE ใหม่ ๆ ที่กำลังเป็นกระแส เพียงรันมันหนึ่งครั้ง มันจะแอบดูดรหัสผ่านที่บันทึกไว้ คุกกี้เบราว์เซอร์ และไฟล์ต่าง ๆ แล้วยื่น shell บนเครื่องให้แฮ็กเกอร์ โดยบริษัท YesWeHack และ Sekoia เผยแพร่ผลการสอบสวนร่วมกันเมื่อวันที่ 1 กรกฎาคม และเตือนว่า ณ เวลาที่รายงาน มัลแวร์และเซิร์ฟเวอร์ของมันยังทำงานอยู่ จึงห้ามรัน PoC เหล่านี้เด็ดขาด

กลเม็ดอยู่ที่ตำแหน่งของโค้ด PoC ที่มองเห็นดูสะอาดปกติ แต่มัลแวร์ซ่อนอยู่ในแพ็กเกจ Python ที่ PoC ดึงเข้ามาเป็น dependency จึงเล็ดลอดการรีวิวโค้ดแบบผ่าน ๆ ไปได้ เหยื่อล่อคือแรงกดดันด้านเวลา เมื่อช่องโหว่ใหญ่ถูกเปิดเผย นักวิจัยมักรีบทดสอบและคว้า PoC จากชุมชนมาใช้เพื่อความรวดเร็ว แคมเปญนี้เปลี่ยนพฤติกรรมนั้นให้กลายเป็นเส้นทางการติดมัลแวร์

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 2 กรกฎาคม 2569 อ้างผลวิจัยร่วมของ YesWeHack และ Sekoia ว่า ห่วงโซ่การติดมัลแวร์เริ่มจากเหยื่อโคลนรีโปและรัน pip install เพื่อดึง requirements ของ PoC ซึ่งจะดึงแพ็กเกจชื่อ frint เข้ามา และ frint ก็ลากแพ็กเกจตัวที่สองชื่อ skytext ตามมา โดย skytext มาพร้อมไฟล์คอมไพล์ขนาดเล็ก (gradient.so บน Linux, gradient.pyd บน Windows) ที่รันทันทีที่เปิด PoC จุดแยบยลคือมันจะตื่นทำงานก็ต่อเมื่อเห็นว่า PoC จริงถูกโหลดแล้ว โดยตรวจหาไฟล์ชื่อ EXPLOIT_POC.py หรือคล้ายกัน จากนั้นจึงแตกเพย์โหลดและดาวน์โหลดโทรจัน การตรวจสอบนี้เองที่ทำให้ sandbox ทั่วไปมองไม่เห็นอะไร เพราะถ้ารันแพ็กเกจเดี่ยว ๆ โดยไม่มี PoC ครบชุดล้อมรอบ มัลแวร์จะหลับอยู่เฉย ๆ

เมื่อทำงานแล้ว ChocoPoC เป็นโทรจันควบคุมระยะไกล (RAT) เต็มรูปแบบ ดึงรหัสผ่านที่บันทึกไว้ คุกกี้ ข้อมูล autofill และประวัติจาก Chrome, Brave, Edge และ Firefox คว้าไฟล์ข้อความ โน้ต และฐานข้อมูลในเครื่อง พร้อมประวัติ shell การตั้งค่าเครือข่าย และรายการโปรเซสที่กำลังทำงาน แฮ็กเกอร์ยังสั่งรันคำสั่ง shell ใด ๆ รัน Python ตามอำเภอใจ ดึงทั้งโฟลเดอร์ และหน่วงมัลแวร์ให้ทำงานช้าลงเพื่อเงียบได้ ที่น่าสนใจคือคำสั่งหลายตัวเป็นภาษาสเปนและโค้ดมีบั๊กเล็ก ๆ ซึ่งนักวิจัยตีความว่าเขียนด้วยมือมากกว่าถูกสร้างด้วย AI สำหรับการควบคุม มัลแวร์ซ่อนตัวอย่างแนบเนียนด้วยการอ่านคำสั่งจากชุดข้อมูลบน Mapbox ซึ่งเป็นบริการแผนที่ปกติ ใช้เป็น dead drop และใช้เทคนิค domain-fronting ทำให้ทราฟฟิกดูเหมือนการเรียก Mapbox API ทั่วไป ส่วนการอัปโหลดขนาดใหญ่จะส่งไปยังเซิร์ฟเวอร์แยกที่ 91.132.163[.]78

วิธีการโจมตี

YesWeHack และ Sekoia พบรีโป PoC ปลอมอย่างน้อยเจ็ดแห่ง แต่ละแห่งผูกกับช่องโหว่ที่เป็นข่าวดัง ได้แก่ FortiWeb path traversal (CVE-2025-64446), React2Shell (CVE-2025-55182), MongoBleed (CVE-2025-14847), PAN-OS auth bypass (CVE-2026-0257), Ivanti Sentry command injection (CVE-2026-10520), Check Point VPN auth bypass (CVE-2026-50751) และ Joomla SP Page Builder RCE (CVE-2026-48908) เฉพาะแพ็กเกจ skytext ตัวเดียวถูกดาวน์โหลดราว 2,400 ครั้ง ส่วนใหญ่บน Linux ยอดดาวน์โหลดพุ่งขึ้นทันทีหลัง CVE ใหญ่ถูกเปิดเผย ซึ่งสอดคล้องกับเหยื่อล่อ

แคมเปญเวอร์ชันก่อนหน้าที่ย้อนไปถึงปลายปี 2025 ใช้แพ็กเกจอีกสองตัวคือ slogsec และ logcrypt.cryptography ที่มีโค้ดเกือบเหมือนกัน Sekoia ประเมินด้วยความมั่นใจสูงว่าเป็นฝีมือผู้ก่อเหตุรายเดียวจากมาร์กเกอร์ควบคุมที่ใช้ซ้ำ โดยผู้ก่อเหตุหมุนเวียนบัญชี GitHub, PyPI และ Mapbox หลายบัญชีที่สร้างจากล็อกอินที่รั่วหรือถูกขโมย นักวิจัยความปลอดภัยเป็นเป้าหมายที่มีมูลค่าสูง เพราะพวกเขารันโค้ดที่ไม่น่าเชื่อถือโดยธรรมชาติของงาน มักด้วยสิทธิ์สูง และเครื่องของพวกเขาเก็บ credential ของลูกค้า รายงานลับ และรายละเอียดของงานที่กำลังดำเนินอยู่ เจาะเครื่องเดียวก็อาจไปได้ไกลกว่าแล็ปท็อปเครื่องเดียว สิ่งที่ ChocoPoC เพิ่มเข้ามาคือ “ที่ซ่อน” เพราะมัลแวร์อยู่ใน dependency ทำให้ PoC ที่อ่านจริงยังคงสะอาด นักวิจัยยังเตือนถึงความเสี่ยง supply chain สองชั้น คือหากเจาะนักวิจัยที่ป้อน detection และ PoC ให้เฟรมเวิร์กอย่าง Nuclei และ MDUT ได้ โค้ดร้ายก็อาจไหลเข้าเฟรมเวิร์กที่คนอีกหลายพันไว้ใจ

ผลกระทบต่อไทย

นักวิจัยความปลอดภัย ทีม red team และ pentester ในไทยที่มีนิสัยคว้า PoC จาก GitHub มาทดสอบช่องโหว่ใหม่อย่างรวดเร็ว คือกลุ่มเสี่ยงโดยตรงต่อแคมเปญนี้ เพราะเครื่องของบุคคลเหล่านี้มักถือ credential ของลูกค้าและข้อมูลงานที่อ่อนไหว การถูกเจาะเพียงเครื่องเดียวอาจลุกลามไปถึงระบบของลูกค้าหลายราย นอกจากนี้ ความเสี่ยง supply chain สองชั้นยังกระทบเป็นวงกว้าง หากเครื่องมือหรือเฟรมเวิร์กที่ทีมความปลอดภัยไทยใช้ร่วมกันถูกปนเปื้อน องค์กรไทยที่พึ่งพา PoC จากชุมชนควรตระหนักว่าไฟล์ PoC ที่ดูสะอาดอาจซ่อนอันตรายไว้ใน dependency ที่มองไม่เห็น

คำแนะนำ

ให้ถือว่า PoC ทุกตัวเป็นภัยจนกว่าจะพิสูจน์ได้ว่าปลอดภัย และหลีกเลี่ยงโค้ดจากบัญชีที่เพิ่งสร้างใหม่หรือไม่รู้จัก อ่านห่วงโซ่ dependency ทั้งหมด ไม่ใช่แค่ไฟล์ PoC โดยระวังแพ็กเกจที่เพิ่งเผยแพร่ ผู้ดูแลที่ไม่คุ้นเคย และบัญชีที่ไม่มีประวัติ ควรทดสอบเฉพาะใน VM แบบใช้แล้วทิ้ง แต่พึงจำว่าการแยกสภาพแวดล้อมอย่างเดียวไม่สะดุดมัลแวร์ตัวนี้ ทางแก้จริงคือไม่ติดตั้งแพ็กเกจเหล่านี้เลย ให้ตรวจระบบว่ามี frint, skytext, slogsec และ logcrypt.cryptography หรือไม่ รวมถึง file hash ในรายงาน หากเคยรันตัวใดตัวหนึ่ง ให้เปลี่ยน credential ทั้งหมดและ rebuild เครื่องใหม่

Indicators of Compromise (IoCs)

หมายเหตุ: IP ถูก defang แล้ว (แทน . ด้วย [.]) — การพบแพ็กเกจเหล่านี้ในระบบบ่งชี้ความเสี่ยงถูกเจาะ ควรตรวจสอบและเปลี่ยน credential ทันที

Indicatorประเภทรายละเอียด
frintPyPI packageแพ็กเกจชั้นแรกที่ PoC ดึงเข้ามา
skytextPyPI packageแพ็กเกจชั้นสอง (ดาวน์โหลด ~2,400 ครั้ง)
slogsecPyPI packageใช้ในแคมเปญเวอร์ชันก่อนหน้า (ปลายปี 2025)
logcrypt.cryptographyPyPI packageใช้ในแคมเปญเวอร์ชันก่อนหน้า
gradient.so / gradient.pydFileไฟล์คอมไพล์ที่รันเพย์โหลด (Linux/Windows)
91.132.163[.]78IPเซิร์ฟเวอร์รับอัปโหลดข้อมูลขนาดใหญ่

แหล่งอ้างอิง