สรุปสั้น

นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Doctor Web (Dr.Web) เปิดเผยการวิเคราะห์แบ็กดอร์ (Backdoor — ประตูหลังที่เปิดให้ผู้โจมตีเข้าควบคุมเครื่องจากระยะไกล) ตัวใหม่บน Windows ชื่อ “Siggen” หรือรหัส BackDoor.Siggen2.5906 ที่ออกแบบมาเจาะจงเป้าหมายไปที่นักพัฒนาซอฟต์แวร์โดยเฉพาะ จุดเด่นที่อันตรายคือมัลแวร์ตัวนี้จะเข้าไปแก้ไขไฟล์โปรเจกต์ภาษา C++ และ C# ทำให้โค้ดอันตรายแพร่กระจายต่อไปได้ทั้งผ่านไฟล์ซอร์สโค้ด แอปพลิเคชันที่คอมไพล์เสร็จแล้ว และสภาพแวดล้อมการพัฒนา (Development Environment) นักวิจัยพบมัลแวร์นี้ครั้งแรกในช่วงไตรมาสสุดท้ายของปี 2025 และนับจากนั้นผู้พัฒนามัลแวร์ก็ยังคงอัปเดตโค้ดอย่างต่อเนื่อง เพิ่มวิธีการทำงานใหม่ ๆ และทำให้ตรวจจับได้ยากขึ้นเรื่อย ๆ

ความสามารถของ Siggen ครอบคลุมทั้งการขโมยรหัสผ่าน คุกกี้เบราว์เซอร์ โทเคนของ Discord ข้อมูล Telegram และข้อมูลกระเป๋าเงินคริปโทเคอร์เรนซี นอกจากนี้ยังคอยเฝ้าดูกิจกรรมคลิปบอร์ด (Clipboard — ที่พักข้อมูลจากการคัดลอก) เปิดทางให้เข้าถึงเครื่องที่ติดมัลแวร์จากระยะไกล ติดตั้งโปรแกรมขุดเหรียญคริปโต และแทรกโค้ดอันตรายลงในไฟล์ของนักพัฒนา สิ่งที่ทำให้ Siggen ต่างจากมัลแวร์ทั่วไปคือการซ่อนที่อยู่เซิร์ฟเวอร์สั่งการ (C2) ไว้ในโปรไฟล์ Steam และไฟล์บน GitHub สาธารณะ ทำให้ผู้โจมตีสามารถอัปเดตที่อยู่เซิร์ฟเวอร์ได้โดยไม่ต้องฝังที่อยู่ถาวรไว้ในตัวมัลแวร์แต่ละชุด

รายละเอียดข่าว

เว็บไซต์ HackRead รายงานเมื่อวันที่ 13 กรกฎาคม พ.ศ. 2569 ว่านักวิจัยจากบริษัท Doctor Web ได้เผยแพร่รายงานวิเคราะห์เชิงลึกของแบ็กดอร์ Siggen ที่มุ่งโจมตีนักพัฒนาซอฟต์แวร์บน Windows การโจมตีเริ่มต้นจากไฟล์ปฏิบัติการ (Executable) ที่ติดมัลแวร์อยู่แล้ว หรือจากสคริปต์ Python ที่เป็นอันตราย ในกรณีของแอปพลิเคชัน Windows ที่ถูกฝังมัลแวร์ ผู้โจมตีจะเพิ่มฟังก์ชันที่ทำงานขึ้นมาระหว่างกระบวนการเริ่มต้นโปรแกรมตามปกติ แล้วเรียกใช้ PowerShell ทำงานเบื้องหลังเพื่อดาวน์โหลดส่วนประกอบมัลแวร์ชิ้นถัดไป

สำหรับไฟล์ Python ที่เป็นอันตรายก็ใช้กระบวนการคล้ายกัน โดยโค้ดที่ฝังไว้จะถูกเข้ารหัสด้วย Fernet (วิธีเข้ารหัสแบบสมมาตร) และซ่อนไว้หลังชุดอักขระช่องว่าง (Whitespace) ยาว ๆ เมื่อถูกรัน สคริปต์จะถอดรหัสและเรียกใช้โค้ดที่ติดตั้งมัลแวร์ขั้นถัดไป หลังจากมัลแวร์ตัวดาวน์โหลด (Downloader) เข้าถึงเครื่อง Windows ได้แล้ว มันจะตรวจสอบว่าอยู่ในสภาพแวดล้อมสำหรับวิเคราะห์มัลแวร์หรือไม่ และสร้าง mutex เพื่อป้องกันไม่ให้ตัวเองทำงานซ้ำซ้อน จากนั้นจึงค้นหาข้อมูลเซิร์ฟเวอร์ C2 ล่าสุดจากบริการออนไลน์สาธารณะ ตามรายงานของ Dr.Web ผู้โจมตีได้ฝังชื่อโดเมนของเซิร์ฟเวอร์ไว้ในโปรไฟล์ Steam และเก็บข้อมูลที่อยู่แบบเข้ารหัสไว้ในไฟล์ GitHub สาธารณะ ซึ่งการใช้แพลตฟอร์มที่ได้รับความเชื่อถืออย่าง Steam ทำให้ผู้ควบคุมมัลแวร์อัปเดตข้อมูลเซิร์ฟเวอร์ได้โดยไม่ต้องฝังที่อยู่ถาวรลงในตัวอย่างมัลแวร์ทุกชุด เมื่อค้นพบเซิร์ฟเวอร์ที่ใช้งานได้ ตัวดาวน์โหลดจะฉีดโค้ดอันตรายเข้าไปในไฟล์ปฏิบัติการที่กำหนดไว้ล่วงหน้า 1 ใน 41 ไฟล์ที่อยู่ในโฟลเดอร์ System32 ของ Windows แล้วส่งที่อยู่เซิร์ฟเวอร์และรหัสประจำตัวมัลแวร์ต่อไปยังแบ็กดอร์หลักผ่าน named pipe (pipe\VccFrameworkchannel)

วิธีการโจมตี

เมื่อแบ็กดอร์ Siggen เริ่มทำงาน ผู้โจมตีจะควบคุมเครื่องที่ติดมัลแวร์ได้จากระยะไกล ทั้งการสั่งรันคำสั่ง ดาวน์โหลดและเรียกใช้ไฟล์ ค้นหาในไดเรกทอรี ขโมยข้อมูลที่ต้องการ และเปลี่ยนเส้นทางทราฟฟิกผ่านอุปกรณ์ด้วย reverse proxy มัลแวร์ยังเก็บข้อมูลบัญชีและแอปพลิเคชันจากบริการยอดนิยมหลายตัว ได้แก่ โทเคนยืนยันตัวตนของ Discord โฟลเดอร์ Telegram Desktop รหัสผ่านเบราว์เซอร์ และคุกกี้จากเบราว์เซอร์ตระกูล Chromium ทั้ง Brave, Edge, Opera, Chrome และ Yandex Browser

จุดที่น่าสนใจคือมัลแวร์ขโมยข้อมูลรับรอง (Credential) จากเบราว์เซอร์ได้ 2 วิธี คือดึงข้อมูลที่บันทึกไว้โดยตรง หรือฉีดโค้ดเข้าไปในโปรเซสของเบราว์เซอร์ที่กำลังทำงานเพื่อดักจับรหัสผ่าน โดยข้อมูลที่ขโมยได้จะถูกเก็บไว้ในไฟล์ข้อความบนเครื่องก่อนส่งออกไปยังผู้โจมตี นอกจากนี้ผู้ใช้กระเป๋าเงิน Exodus ยังเสี่ยงเป็นพิเศษ เพราะแบ็กดอร์จะค้นหาไฟล์ app.asar ของกระเป๋าเงินแล้วแทนที่ด้วยเวอร์ชันที่ถูกดัดแปลงซึ่งดาวน์โหลดมาจากเซิร์ฟเวอร์ของผู้โจมตี โดยไฟล์ app.asar เป็นไฟล์ที่แอปพลิเคชันแบบ Electron ใช้เก็บโค้ดและทรัพยากรของแอป การแทนที่ไฟล์นี้ทำให้แฮ็กเกอร์แทรก JavaScript ที่ดักจับวลีกู้คืน (Recovery Phrase) ตอนที่ผู้ใช้ปลดล็อกกระเป๋าเงินและส่งกลับไปยังเซิร์ฟเวอร์ได้

แบ็กดอร์ยังเฝ้าดูคลิปบอร์ดเพื่อหาข้อมูลบัตรธนาคารและที่อยู่กระเป๋าคริปโต เมื่อพบว่ามีการคัดลอกที่อยู่กระเป๋าเงิน มัลแวร์จะสามารถแทนที่ด้วยที่อยู่ที่เซิร์ฟเวอร์ C2 กำหนดมา เพื่อเปลี่ยนเส้นทางการชำระเงินให้ไปเข้ากระเป๋าของผู้โจมตีแทน อีกภัยที่มาพร้อมกันคือ Siggen ยังรันการขุดเหรียญคริปโตบนเครื่องเหยื่อ โดยดาวน์โหลดส่วนประกอบแยกต่างหากที่ติดตั้งซอฟต์แวร์ขุดเหรียญบนพื้นฐานของ XMRig, T-Rex หรือ TeamRedMiner ที่สำคัญ เนื่องจากนักพัฒนาเป็นเป้าหมายหลักของแคมเปญนี้ เครื่องของนักพัฒนาจึงถูกดัดแปลงเพิ่มเติมเพื่อแพร่เชื้อไปยังโปรเจกต์และเครื่องอื่น ๆ โดยแบ็กดอร์จะค้นหาไดรฟ์เพื่อหาไฟล์ปฏิบัติการ ข้อมูลตั้งค่า Visual Studio ไฟล์โปรเจกต์ C++ และ C# ไฟล์ Windows SDK header และซอร์สโค้ด Dear ImGui โดยประเภทไฟล์ที่ตกเป็นเป้า ได้แก่ .suo, .exe, .vcxproj, .csproj, winnetwk.h และ imgui_impl_win32.cpp

ผลกระทบต่อไทย

ประเทศไทยมีชุมชนนักพัฒนาซอฟต์แวร์และสตูดิโอเกมที่ใช้ Visual Studio, C++ และ C# เป็นเครื่องมือหลักจำนวนมาก ทั้งบริษัทเทคโนโลยี ฟรีแลนซ์ และนักศึกษา ซึ่งมักดาวน์โหลดโค้ดตัวอย่างหรือโปรเจกต์จากแหล่งภายนอกมาลองคอมไพล์ พฤติกรรมเช่นนี้เป็นช่องทางที่ Siggen ใช้แพร่กระจายได้โดยตรง หากนักพัฒนาไทยเผลอคอมไพล์โปรเจกต์ที่ติดมัลแวร์ ไม่เพียงเครื่องตัวเองจะถูกยึด แต่ซอฟต์แวร์หรือเกมที่พัฒนาออกไปก็อาจกลายเป็นพาหะแพร่มัลแวร์ต่อไปยังผู้ใช้ปลายทางได้เป็นวงกว้าง ยิ่งไปกว่านั้นการที่มัลแวร์เจาะจงขโมยกระเป๋าคริปโต โทเคน Discord/Telegram และรหัสผ่านเบราว์เซอร์ ยังกระทบโดยตรงต่อกลุ่มผู้ใช้คริปโตและผู้ที่เก็บข้อมูลสำคัญไว้ในเบราว์เซอร์ซึ่งมีอยู่จำนวนมากในไทย

คำแนะนำ

นักพัฒนาควรตรวจสอบการเปลี่ยนแปลงของไฟล์โปรเจกต์ที่เกิดขึ้นโดยไม่คาดคิด ตรวจทานคำสั่ง pre-build ทุกครั้ง สแกนซอร์สโค้ดและไฟล์ไบนารีที่ดาวน์โหลดมา และตรวจสอบความน่าเชื่อถือของสภาพแวดล้อมการพัฒนาก่อนคอมไพล์โปรเจกต์ของบุคคลที่สาม แม้ Dr.Web จะยังไม่ระบุวิธีการส่งมัลแวร์ในขั้นแรก แต่ผู้ใช้ Windows ทั่วไปควรหลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บไซต์บุคคลที่สามที่ไม่น่าเชื่อถือ ไม่เปิดไฟล์แนบจากผู้ส่งที่ไม่รู้จัก อัปเดต Windows และซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และตรวจสอบลิงก์หรือไฟล์ที่น่าสงสัยผ่านบริการอย่าง VirusTotal ก่อนเปิดใช้งาน ผู้ใช้กระเป๋าคริปโตควรพิจารณาใช้ Hardware Wallet และตรวจสอบที่อยู่ปลายทางทุกครั้งก่อนโอนเพื่อป้องกันการสลับที่อยู่ผ่านคลิปบอร์ด

แหล่งอ้างอิง