วงการสินทรัพย์ดิจิทัลและปัญญาประดิษฐ์กำลังเผชิญหน้ากับภัยคุกคามไซเบอร์ระดับโครงสร้าง เมื่อแพลตฟอร์ม Socket ตรวจพบแคมเปญมัลแวร์ลอบโจมตีแบบซัพพลายเชนภายใต้ชื่อ TrapDoor พุ่งเป้าไปที่เครื่องมือของนักพัฒนาคริปโตและเอไอโดยตรง ความน่ากลัวคือการแฝงคำสั่งลับเพื่อยึดการควบคุมผู้ช่วยเอไออย่าง Claude และ Cursor เพื่อหลอกให้ระบบส่งข้อมูลสำคัญระดับรากฐานกลับไปยังแฮกเกอร์ เหตุการณ์นี้สะท้อนให้เห็นถึงกลวิธีอาชญากรรมไซเบอร์ที่ยกระดับความซับซ้อน และใช้เครื่องมือที่นักพัฒนาไว้วางใจเป็นช่องทางจารกรรมข้อมูลอย่างแนบเนียน
รายงานข่าวระบุว่า แพลตฟอร์มตรวจสอบความปลอดภัยสำหรับนักพัฒนาซอฟต์แวร์ Socket ได้เปิดเผยรายงานเมื่อวันอาทิตย์ที่ผ่านมาถึงการค้นพบแคมเปญมัลแวร์ที่ใช้ชื่อว่า TrapDoor (แทรปดอร์) โดยเริ่มตรวจพบความผิดปกติครั้งแรกเมื่อวันศุกร์ แคมเปญดังกล่าวได้กระจายแพ็กเกจซอฟต์แวร์อันตรายออกไปแล้วกว่า 34 รายการ พร้อมด้วยเวอร์ชันที่เกี่ยวข้องอีกถึง 384 เวอร์ชัน ซึ่งผู้โจมตียังคงเดินหน้าปล่อยอัปเดตเวอร์ชันใหม่ออกมาแทรกซึมในระบบนิเวศน์ทางเทคโนโลยีอย่างต่อเนื่อง
เป้าหมายหลักของการโจมตีระดับซัพพลายเชนครั้งนี้ เจาะจงไปที่กลุ่มนักพัฒนาคริปโต ระบบการเงินแบบกระจายศูนย์ (DeFi) ปัญญาประดิษฐ์ (AI) และนักพัฒนาด้านความปลอดภัย มัลแวร์ถูกออกแบบมาเพื่อโจรกรรมข้อมูลสำคัญขั้นสูง ไม่ว่าจะเป็นข้อมูลกระเป๋าเงินดิจิทัล คีย์เชื่อมต่อระบบ (SSH keys) ข้อมูลการเข้าถึงระบบคลาวด์ โทเคนของแพลตฟอร์ม GitHub ข้อมูลจากส่วนขยายของเบราว์เซอร์ และกุญแจเชื่อมต่อระบบ API
อาหมัด นัสรี ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Socket ให้ข้อมูลเชิงลึกว่า มัลแวร์ตัวนี้พุ่งเป้าไปที่กระเป๋าเงินคริปโตยอดนิยมในตลาดหลายแห่ง ได้แก่ Coinbase, Binance, Solana, Sui, Aptos และ MetaMask รวมถึงเว็บเบราว์เซอร์ที่เน้นความเป็นส่วนตัวอย่าง Brave เพื่อมุ่งขโมยสินทรัพย์ดิจิทัลสกุลหลักต่างๆ ไม่เว้นแม้แต่บิทคอยน์และอัลต์คอยน์อื่นๆ
ประเด็นที่สร้างความกังวลอย่างยิ่งคือกลไกการทำงานของมัลแวร์ โดยอาหมัด นัสรี อธิบายว่า TrapDoor มีการฝังคำสั่งลับเพื่อยึดการทำงานของผู้ช่วยเขียนโค้ดเอไอ โดยเจาะจงไปที่ระบบปัญญาประดิษฐ์ยอดนิยมอย่าง Claude และ Cursor รูปแบบการโจมตีคือการหลอกให้ผู้ช่วยเอไอทำงานในโหมดตรวจสอบความปลอดภัยหรือกระบวนการทำงานอื่นที่คล้ายคลึงกัน ซึ่งแท้จริงแล้วคือฉากหน้าของการค้นหาความลับและลักลอบส่งข้อมูลสำคัญของนักพัฒนาออกไปสู่ภายนอก
ขณะที่กลุ่มอาชญากรไซเบอร์ตระหนักดีถึงพฤติกรรมการทำงานของนักพัฒนาคริปโตและเอไอ จึงเลือกฝังแพ็กเกจอันตรายเหล่านี้ไว้ในแหล่งดาวน์โหลดเครื่องมือหลัก โดยอาศัยช่องโหว่ที่นักพัฒนามักจะติดตั้งเครื่องมือเหล่านี้ตามความเคยชินโดยขาดการตรวจสอบอย่างรัดกุม TrapDoor แฝงตัวอยู่ในแหล่งทรัพยากรสำคัญอย่าง npm ซึ่งเป็นศูนย์รวมแพ็กเกจสำหรับนักพัฒนา JavaScript และ Node.js ที่เป็นโครงสร้างพื้นฐานของเว็บไซต์และแอปพลิเคชันส่วนใหญ่ นอกจากนี้ยังพบการปนเปื้อนใน PyPI ซึ่งเป็นคลังโปรแกรมสำหรับนักพัฒนา Python ที่ใช้งานอย่างแพร่หลายในวงการวิทยาศาสตร์ข้อมูล และ Crates ซึ่งเป็นระบบจัดการแพ็กเกจของนักพัฒนาภาษา Rust
ขณะที่กลวิธีพรางตัวของแคมเปญนี้จัดว่ามีความแนบเนียนสูงมาก Socket ระบุว่าชื่อแพ็กเกจอันตรายถูกตั้งให้ดูเหมือนเป็นเครื่องมือช่วยเหลือทั่วไป เช่น โปรแกรมตั้งค่าโปรเจกต์ เครื่องมือจัดการโมเดลเอไอ แพ็กเกจสำหรับวิศวกรรมพรอมต์ เครื่องมือสำหรับภาษา Solidity รวมถึงตัวช่วยสร้างระบบบนเครือข่าย Sui หรือ Move การพรางตัวด้วยชื่อที่ดูเป็นทางการเช่นนี้ทำให้มัลแวร์สามารถแทรกซึมเข้าสู่ชุมชนนักพัฒนาในวงกว้าง ซึ่งเป็นกลุ่มเป้าหมายหลักที่มีโอกาสถือครองกระเป๋าเงินคริปโต การเข้าถึงคลาวด์ หรือกุญแจสำคัญระดับสถาปัตยกรรมระบบ
ด้านแพลตฟอร์ม GitHub ถูกใช้เป็นพื้นที่หลักในการกระจายแพ็กเกจอันตรายเหล่านี้ ทาง Socket ตั้งข้อสังเกตว่ารูปแบบการโจมตีมีลักษณะของการใช้เอไอเข้ามาช่วยดำเนินการอย่างรวดเร็ว โดยพบร่องรอยการสร้างโครงสร้างโปรเจกต์ที่อ้างอิงเรื่องความปลอดภัยบังหน้า การทำคลังข้อมูลลวง เอกสารแนะนำการเขียนพรอมต์ที่แฝงโค้ดอันตราย รวมถึงแนวคิดการโจรกรรมข้อมูลที่ผสมผสานเข้ากับตัวมัลแวร์ที่พร้อมทำงานจริง
อย่างไรก็ดีเหตุการณ์แทรกซึมระดับซัพพลายเชนครั้งนี้ เกิดขึ้นไล่เลี่ยกับกรณีที่ GitHub เพิ่งออกมารายงานเมื่อวันที่ 20 พฤษภาคม พ.ศ. 2569 ว่าพบการเข้าถึงคลังข้อมูลภายในโดยไม่ได้รับอนุญาต ซึ่งเป็นผลสืบเนื่องมาจากอุปกรณ์ของพนักงานถูกแฮกเกอร์เจาะระบบ ซึ่งเป็นภาพสะท้อนที่ชัดเจนว่าระบบนิเวศน์การพัฒนาซอฟต์แวร์ในปัจจุบันกำลังเผชิญกับความเสี่ยงที่ทวีความรุนแรงและซับซ้อนในระดับที่ไม่เคยปรากฏมาก่อน
