ผู้ก่อตั้ง Web3 คนหนึ่งตกเป็นเหยื่อของมัลแวร์ “BeaverTail” ที่มีชื่อเสียงจากเกาหลีเหนือ

ผู้ก่อตั้ง Web3 Akshit Ostwal สูญเสีย $20K ให้กับมัลแวร์ BeaverTail ของเกาหลีเหนือในกลโกงคริปโตขั้นสูงที่โจมตีเหล่านักพัฒนา

วงการ Web3 เพิ่งได้รับบทเรียนอันรุนแรงในสัปดาห์นี้ Akshit Ostwal ผู้ร่วมก่อตั้ง Epoch Protocol สูญเสียเงินกว่า 20,000 ดอลลาร์ หลังจากช่วยเพื่อนในสัมภาษณ์ทางเทคนิคที่ดูเหมือนเป็นเรื่องปกติ

เหตุการณ์นี้แสดงให้เห็นถึงแคมเปญต่อเนื่องของแฮกเกอร์เกาหลีเหนือที่มุ่งเป้าไปที่คนสร้างอนาคตของอินเทอร์เน็ตโดยตรง

จุดเริ่มต้นของกลโกงคริปโตเดิมพันสูง

ปัญหาเริ่มต้นเมื่อปีที่แล้วในวันที่ 18 ธันวาคม ด้วยคำของ่ายๆ จากเพื่อนคนหนึ่ง เพื่อนคนนั้นกำลังสมัครงานใหม่และขอให้ Ostwal ตรวจสอบคลังโค้ด

เพื่อนเชื่อว่าโค้ดนี้มาจากผู้สรรหาที่น่าเชื่อถือจากบริษัทชั้นนำ

Ostwal ต้องการช่วยเหลือ จึงรันโค้ดของบุคคลที่สามบนเครื่องของเขาเอง

https://t.co/FCHfkGQdeA

— (AK) Akshit | Epoch Protocol 🦇🔊🛡️ (@OstwalAk) 8 มกราคม 2026

การกระทำนี้เปิดประตูสู่แคมเปญ “Contagious Interview” ซึ่งเชื่อมโยงกับกลุ่ม Lazarus ซึ่งเป็นกลุ่มที่สนับสนุนโดยรัฐของเกาหลีเหนือ

แทนที่จะเป็นการฟิชชิ่งแบบกลุ่ม แฮกเกอร์เหล่านี้ตอนนี้ใช้เทคนิคการสร้างความเชื่อมั่นทางสังคมระดับสูงเพื่อหลอกให้นักพัฒนารันไฟล์ที่ถูกแก้ไข

โครงสร้างของการโจมตีมัลแวร์ BeaverTail

Ostwal โพสต์ใน X ว่าเมื่อเขารันโค้ดแล้ว ก็เริ่มต้นสายการติดเชื้อเงียบในเครื่องของเขา

ผู้เชี่ยวชาญด้านความปลอดภัยที่ Seal911 ระบุว่าสาเหตุหลักคือมัลแวร์ BeaverTail ซึ่งเป็นซอฟต์แวร์ JavaScript ที่มักใช้ร่วมกับ backdoor ชื่อ InvisibleFerret

เมื่อใช้งานร่วมกันแล้ว พวกมันกลายเป็นคู่โจรกรรมคริปโตที่แทบจะหยุดไม่ได้สำหรับสภาพแวดล้อมของนักพัฒนา

ตามคำบอกของ Ostwal มัลแวร์นี้ทำงานเป็นหลายขั้นตอน:

ขั้นแรกคือการรันอัตโนมัติ เมื่อเซิร์ฟเวอร์ในเครื่องของเขาเริ่มทำงาน ไฟล์ชื่อ analytics.controller.js ก็เริ่มรันฟังก์ชันซ่อนเร้น

ต่อมา สคริปต์ส่งตัวแปรสภาพแวดล้อมของระบบของ Ostwal ไปยังแฮกเกอร์ทันที ซึ่งรวมถึงข้อมูลสำคัญเช่น URL ฐานข้อมูลและคีย์ส่วนตัว

สุดท้าย เซิร์ฟเวอร์ของแฮกเกอร์ส่ง JavaScript ที่เป็นอันตรายกลับมา ซึ่งรันด้วยสิทธิ์ root บนอุปกรณ์ที่ติดเชื้อ

ไม่นานเงิน 20,000 ดอลลาร์ก็หายไปในอากาศ

ทำไมกลโกงคริปโตนี้ถึงรอดพ้นการตรวจจับ

ที่น่าสังเกตคือ แฮกเกอร์ไม่ได้โอนเงินออกไปทันที แต่พวกเขาน่าจะรักษา backdoor บนอุปกรณ์ของ Ostwal ไว้เป็นเวลานานเกือบหนึ่งเดือน ระหว่างนั้น พวกเขาเขียนสคริปต์แบบกำหนดเองเพื่อปลดล็อคเงินในพอร์ตโฟลิโอ DeFi ของเขา

พวกเขายังรอจังหวะที่สมบูรณ์แบบเพื่อ “กวาด” ทรัพย์สินทั้งหมดในธุรกรรมเดียว

ในที่สุด แฮกเกอร์ก็โจมตีทั้งกระเป๋าเงินที่รองรับ EVM และบัญชี Solana

พวกเขาใช้เครื่องมืออย่าง Near-Intents และ Rubic Exchange เพื่อย้ายเงินที่ถูกขโมยไป กลยุทธ์ “chain-hopping” นี้ทำให้ยากต่อการติดตามเงินข้ามบล็อกเชนต่างๆ

อ่านเพิ่มเติม: $3.4 พันล้านถูกขโมย: เกาหลีเหนือขับเคลื่อนสถิติ $2 พันล้านคริปโตในปีนี้

ขนาดการโจรกรรมของเกาหลีเหนือที่ทำลายสถิติ

ประสบการณ์ของ Ostwal เป็นส่วนหนึ่งของการเพิ่มขึ้นอย่างมหาศาลของอาชญากรรมไซเบอร์ ข้อมูลจากรายงานอาชญากรรมคริปโตปี 2026 ระบุว่าแฮกเกอร์เกาหลีเหนือขโมยเงินไปกว่า 2.02 พันล้านดอลลาร์ในปีที่แล้วเท่านั้น

ตัวเลขนี้คิดเป็นสัดส่วนมากของการสูญเสียรวม 3.4 พันล้านดอลลาร์จากการโจรกรรมคริปโตทั่วโลกในปีที่ผ่านมา

แคมเปญ “Contagious Interview” ได้พิสูจน์ให้เห็นถึงความมีประสิทธิภาพอย่างน่าประหลาดใจ แฮกเกอร์สร้างแพ็กเกจ NPM ที่เป็นอันตรายหลายร้อยชุดและใช้ AI เพื่อสร้างคำตอบสัมภาษณ์ที่ฟังดูเป็นมนุษย์

พูดอีกนัยหนึ่ง พวกเขาได้เปลี่ยนตลาดงานให้กลายเป็นเขตอันตรายสำหรับวิศวกรซอฟต์แวร์