ตามรายงานของ Cryptopolitan เมื่อวันที่ 11 พฤษภาคม ทีมวิจัยความปลอดภัยของ Microsoft Defender เผยผลการสืบสวน พบว่า ผู้โจมตีเริ่มเผยแพร่คำแนะนำปลอมสำหรับการแก้ปัญหา macOS บนแพลตฟอร์มอย่าง Medium และ Craft ตั้งแต่ช่วงปลายปี 2025 โดยหลอกให้ผู้ใช้รันคำสั่งที่เป็นอันตรายในเทอร์มินัล เพื่อทำการติดตั้งมัลแวร์ที่ใช้ขโมยคีย์กระเป๋าเงินเข้ารหัส ข้อมูล iCloud และรหัสผ่านที่เก็บไว้ในเบราว์เซอร์
กลไกการโจมตี: ClickFix ข้ามการป้องกันของ Gatekeeper บน macOS
ตามรายงานของทีมวิจัยความปลอดภัยของ Microsoft Defender ผู้โจมตีใช้เทคนิควิศวกรรมสังคมที่เรียกว่า ClickFix โดยการเผยแพร่คู่มือแก้ปัญหา macOS ที่แอบอ้างบน Medium, Craft และ Squarespace ว่าเป็นวิธี “ปลดล็อก/เพิ่มพื้นที่ว่างในดิสก์” หรือ “ซ่อมข้อผิดพลาดของระบบ” เพื่อชักจูงให้ผู้ใช้คัดลอกคำสั่งที่เป็นอันตรายและวางลงใน macOS Terminal เมื่อคำสั่งทำงานแล้ว มัลแวร์จะดาวน์โหลดและเริ่มทำงานทันที
ตามรายงานของ Microsoft วิธีนี้สามารถหลีกเลี่ยงกลไกความปลอดภัยของ macOS Gatekeeper ได้ เนื่องจาก Gatekeeper จะตรวจสอบลายเซ็นโค้ดและการรับรองผ่านขั้นตอนสำหรับแอปที่เปิดผ่าน Finder แต่การที่ผู้ใช้รันคำสั่งโดยตรงใน Terminal จะไม่ถูกผูกกับขั้นตอนการตรวจสอบดังกล่าว นักวิจัยยังพบว่า ผู้โจมตีใช้ curl, osascript และเครื่องมือดั้งเดิมอื่น ๆ ของ macOS เพื่อรันโค้ดที่เป็นอันตรายในหน่วยความจำโดยตรง (การโจมตีแบบไม่มีไฟล์) ทำให้เครื่องมือป้องกันไวรัสมาตรฐานตรวจจับได้ยาก
ตระกูลมัลแวร์ ขอบเขตการขโมย และกลไกพิเศษ
ตามรายงานของ Microsoft การโจมตีครั้งนี้เกี่ยวข้องกับมัลแวร์ 3 ตระกูล (AMOS, Macsync, SHub Stealer) และโปรแกรมติดตั้ง 3 ประเภท (Loader, Script, Helper) โดยข้อมูลเป้าหมายที่ถูกขโมยได้แก่:
คีย์กระเป๋าเงินเข้ารหัส: Exodus, Ledger, Trezor
ข้อมูลรับรองบัญชี: iCloud, Telegram
รหัสผ่านที่เก็บในเบราว์เซอร์: Chrome, Firefox
ไฟล์และรูปภาพส่วนตัว: ไฟล์ภายในเครื่องที่มีขนาดน้อยกว่า 2 MB
หลังจากติดตั้ง มัลแวร์จะแสดงกล่องสนทนาปลอม เพื่อให้ผู้ใช้ป้อนรหัสผ่านของระบบในการติดตั้ง “เครื่องมือช่วยเหลือ”; หากผู้ใช้ป้อนรหัสผ่าน ผู้โจมตีก็จะเข้าถึงข้อมูลไฟล์ทั้งหมดและการตั้งค่าระบบได้ นอกจากนี้ รายงานของ Microsoft ระบุว่า ในบางกรณี ผู้โจมตีจะลบแอปที่ถูกต้องตามกฎหมายของ Trezor Suite, Ledger Wallet และ Exodus และแทนที่ด้วยเวอร์ชันที่ฝังโทรจันเพื่อเฝ้าติดตามธุรกรรมและขโมยเงินทุน อีกทั้งโปรแกรมที่มัลแวร์โหลดยังมีสวิตช์ยุติการทำงานพิเศษ: หากตรวจพบเลย์เอาต์คีย์บอร์ดภาษา俄語 (ภาษารัสเซีย) มัลแวร์จะหยุดการทำงานโดยอัตโนมัติ
กิจกรรมการโจมตีที่เกี่ยวข้องและมาตรการป้องกันของ Apple
จากการสืบสวนของนักวิจัยด้านความปลอดภัยของ ANY.RUN พบว่า Lazarus Group ได้เริ่มปฏิบัติการแฮ็กที่ชื่อว่า “Mach-O Man” โดยใช้เทคนิคเดียวกับ ClickFix ผ่านการหลอกด้วยคำเชิญประชุมปลอม เพื่อกำหนดเป้าหมายเป็นบริษัทด้านฟินเทคและสกุลเงินดิจิทัล/คริปโตที่ใช้ macOS เป็นระบบปฏิบัติการหลัก
Cryptopolitan รายงานเพิ่มเติมว่า แก๊งแฮ็กเกอร์เกาหลีเหนือที่ชื่อ Famous Chollima ใช้การสร้างโค้ดด้วย AI เพื่อนำแพ็กเกจ npm ที่เป็นอันตรายไปฝังในโปรเจกต์ด้านการเทรดคริปโต มัลแวร์ดังกล่าวใช้สถาปัตยกรรมแบบการทำให้อยู่ในรูปที่สับสนถึง 2 ชั้น เพื่อขโมยข้อมูลกระเป๋าเงินและข้อมูลลับของระบบ
จากรายงาน Apple ได้เพิ่มกลไกป้องกันในเวอร์ชัน macOS 26.4 เพื่อป้องกันไม่ให้คำสั่งที่ถูกทำเครื่องหมายว่าอาจเป็นอันตรายนำไปแปะลงใน macOS Terminal
คำถามที่พบบ่อย
กิจกรรมโจมตี ClickFix บน macOS ที่ Microsoft Defender เปิดเผยเริ่มต้นเมื่อใด และเผยแพร่บนแพลตฟอร์มใดบ้าง?
ตามรายงานของทีมวิจัยความปลอดภัยของ Microsoft Defender และ Cryptopolitan วันที่ 11 พฤษภาคม 2026 การโจมตีเริ่มมีความเคลื่อนไหวตั้งแต่ช่วงปลายปี 2025 โดยผู้โจมตีได้เผยแพร่คู่มือแก้ปัญหา macOS ปลอมบนแพลตฟอร์มอย่าง Medium, Craft และ Squarespace เพื่อหลอกผู้ใช้ Mac ให้รันคำสั่ง Terminal ที่เป็นอันตราย
กิจกรรมโจมตีนีั้กำหนดเป้าหมายไปยังกระเป๋าเงินเข้ารหัสและประเภทข้อมูลใดบ้าง?
ตามรายงานของ Microsoft มัลแวร์ที่เกี่ยวข้อง (AMOS, Macsync, SHub Stealer) สามารถขโมยคีย์กระเป๋าเงินเข้ารหัสของ Exodus, Ledger และ Trezor รวมถึงข้อมูลบัญชีของ iCloud และ Telegram ตลอดจนชื่อผู้ใช้และรหัสผ่านที่เก็บไว้ใน Chrome และ Firefox
Apple ออกมาตรการป้องกันสำหรับการโจมตีลักษณะนี้อย่างไรบ้าง?
จากรายงาน Apple ได้เพิ่มกลไกป้องกันในเวอร์ชัน macOS 26.4 เพื่อบล็อกไม่ให้คำสั่งที่ถูกทำเครื่องหมายว่าอาจเป็นอันตรายถูกนำไปแปะลงใน macOS Terminal ลดโอกาสสำเร็จของการโจมตีแบบวิศวกรรมสังคมประเภท ClickFix
btc.bar.articles
เกาหลีใต้เปิดตัวเครื่องมือยืนยันความปลอดภัยของสัญญาอัจฉริยะโดย FSI พร้อมเดินหน้าต่อ 3 โปรเจกต์
ตามรายงานของ Edaily สถาบันความมั่นคงทางการเงินของเกาหลีใต้ (FSI) ประกาศในวันนี้ถึงการพัฒนาเครื่องมือยืนยันความปลอดภัยของสัญญาอัจฉริยะโดยเฉพาะ และกำลังผลักดัน 3 โครงการสำคัญ ได้แก่ การสร้างระบบตรวจสอบสัญญาอัจฉริยะ และการพัฒนาบุคลากรด้านสินทรัพย์ดิจิทัล โดยเครื่องมือดังกล่าวจะตรวจจับช่องโหว่สำคัญในสัญญาอัจฉริยะที่ใช้สำหรับหลักทรัพย์โทเค็น สเตเบิลคอยน์ และบริการสินทรัพย์ดิจิทัลอื่นๆ อัตโนมัติ โดยเน้นประเภทช่องโหว่ที่มีความเสี่ยงสูง เช่น การโจมตีแบบรีเอนทรานซี (reentrancy attacks) ความผิดพลาดด้านการ
GateNews45 นาที ที่แล้ว
นักพัฒนา Wagyu ปฏิเสธการดึงเงินแบบ Rug Pull ด้วย XMR1 ชี้แจงการถอนเงินผ่านเทอร์มินัล
ตามรายงานของ Foresight News ผู้พัฒนา Wagyu อย่าง PerpetualCow ได้ชี้แจงว่า ผู้ถือโทเค็น XMR1 สามารถถอนเงินผ่าน Terminal แทนอินเทอร์เฟซข้ามเชนแบบเดิม เพื่อปฏิเสธข้อกล่าวหาล่าสุดเรื่อง Rug Pull ผู้พัฒนาระบุว่าไม่มีผู้ใช้งานรายงานปัญหาการถอนล้มเหลว และส่วนติดต่อการสลับ (swap) ระบุวิธีการถอนที่ถูกต้องอยู่แล้ว สมาชิกชุมชนเคยกังวลก่อนหน้านี้ว่า Wagyu มีลักษณะคล้าย Rug Pull โดยเงินฝาก XMR อาจถูกล็อก และมีตัวบ่งชี้ Honeypot อยู่ด้วย XMR1 คือโทเค็นสังเคราะห์ของ XMR ที่ Wagyu ออกบน Hyperliquid
GateNews2 ชั่วโมง ที่แล้ว
การโจมตีชุดปรับใช้ Renegade V1 บน Arbitrum ทำให้เสียหาย 209,000 ดอลลาร์; แฮ็กเกอร์สายขาวส่งคืน 190,000 ดอลลาร์
ตามแถลงการณ์อย่างเป็นทางการของ Renegade บน X การติดตั้งใช้งาน Arbitrum รุ่น V1 ซึ่งเป็นระบบเดิมของโปรโตคอลถูกโจมตีตั้งแต่ช่วงเช้าตรู่ของวันนี้ (11 พ.ค.) ส่งผลให้เกิดความเสียหายประมาณ 209,000 ดอลลาร์ แฮกเกอร์สายขาวได้คืนเงินประมาณ 190,000 ดอลลาร์ และทีมยืนยันว่าผู้ใช้งานทั้งหมดที่ได้รับผลกระทบจะได้รับการชดเชยเต็มจำนวน ทีมยืนยันว่าช่องโหว่มีอยู่เฉพาะในการติดตั้งใช้งาน Arbitrum รุ่น V1 เท่านั้น โดยการติดตั้งใช้งาน V1 Base, V2 Arbitrum และ V2 Base ยังคงปลอดภัยอยู่ทั้งหมด ทั้งโครงสร้างพื้นฐานที่รองรั
GateNews3 ชั่วโมง ที่แล้ว
USDT0 ประกาศกลไกการตรวจสอบ 3/3 และโปรแกรมรางวัลบั๊ก $6M หลังเหตุการณ์ Kelp
ตามรายงานของ Foresight News USDT0 ซึ่งเป็นโปรโตคอลด้านการทำงานร่วมกันของสินทรัพย์ของ Tether ได้ประกาศรายละเอียดสถาปัตยกรรมความปลอดภัยหลังเหตุการณ์ Kelp โปรโตคอลใช้เครือข่าย Decentralized Verifier Network (DVN) ที่เป็นกรรมสิทธิ์ของตนเอง พร้อมสิทธิในการยับยั้งข้อความ และกำหนดให้มีผู้ตรวจสอบอิสระ 3 รายจากฐานโค้ดที่แตกต่างกัน เพื่อให้ได้ฉันทามติ 3/3 ก่อนที่ข้อความข้ามเชนจะได้รับการยืนยัน ปัจจุบันโหนดผู้ตรวจสอบประกอบด้วย DVN ของ USDT0 ของตนเอง, LayerZero และ Canary นอกจากนี้ USDT0 ยังเปิดตัวโครงการรา
GateNews4 ชั่วโมง ที่แล้ว
Microsoft ตรวจพบแคมเปญฟิชชิงบน macOS ที่เล็งเป้ากระเป๋าเงิน Exodus, Ledger และ Trezor ตั้งแต่ช่วงปลายปี 2025
ตามทีมวิจัยความปลอดภัยของ Microsoft ตั้งแต่ช่วงปลายปี 2025 ผู้โจมตีได้แจกจ่ายคู่มือช่วยเหลือปลอมสำหรับ macOS ผ่านแพลตฟอร์มต่าง ๆ รวมถึง Medium, Craft และ Squarespace เพื่อหลอกให้ผู้ใช้รันคำสั่งที่เป็นอันตรายบนเทอร์มินัล คำสั่งดังกล่าวจะดาวน์โหลดและรันมัลแวร์ที่ออกแบบมาเพื่อขโมยคีย์กระเป๋าเงินคริปโตจาก Exodus, Ledger และ Trezor รวมถึงข้อมูล iCloud และรหัสผ่านที่บันทึกไว้จาก Chrome และ Firefox กลุ่มมัลแวร์ที่เกี่ยวข้อง ได้แก่ AMOS, Macsync และ SHub Stealer ในบางกรณี ผู้โจมตียังลบแอปกระเป๋าเงินที่ถ
GateNews4 ชั่วโมง ที่แล้ว
LayerZero ออกคำขอโทษสาธารณะต่อการตอบสนองเหตุการณ์ฉ้อโกงของ Kelp DAO ยอมรับว่ามีข้อบกพร่องแบบ single-verifier ของ DVN
ตาม LayerZero โปรโตคอลได้ออกคำขอโทษสาธารณะในวันศุกร์ สำหรับการจัดการเหตุการณ์การโจมตีที่เกิดขึ้นเมื่อวันที่ 18 เมษายน ซึ่งทำให้ rsETH มูลค่า 292 ล้านดอลลาร์ไหลออกจากบริดจ์ข้ามเชนของ Kelp DAO โดยนับเป็นการเปลี่ยนโทนอย่างมีนัยสำคัญจากโพสต์สรุปเหตุการณ์ (post-mortem) ก่อนหน้านี้ LayerZero ระบุว่า Decentralized Verifier Network (DVN) ของตนไม่ควรทำหน้าที่เป็นตัวตรวจสอบเพียงรายเดียวสำหรับธุรกรรมที่มีมูลค่าสูง โดยกล่าวว่า: "เราทำผิดพลาดที่ยอมให้ DVN ของเราเป็น 1/1 DVN สำหรับธุรกรรมที่มีมูลค่าสูง" บริษั
GateNews4 ชั่วโมง ที่แล้ว
