ในข่าวประชาสัมพันธ์เรื่อง Bybit Uncovers AI-Assisted macOS Malware Campaign Targeting Users Searching for Claude Code ที่เผยแพร่เมื่อวันที่ 21 เม.ย. 2026 โดย Bybit ผ่าน PR Newswire ทางบริษัทแจ้งว่ามีพาดหัวข่าวและย่อหน้าที่ 9 ได้รับการปรับปรุงแล้ว ด้านล่างนี้คือข่าวฉบับสมบูรณ์ที่ได้รับการแก้ไข:
ทีมรักษาความปลอดภัยของ Bybit ที่เสริมพลังด้วย AI เปิดโปงแคมเปญมัลแวร์บน macOS ที่มุ่งโจมตีผู้ใช้ที่ค้นหา Claude Code
ดูไบ สหรัฐอาหรับเอมิเรตส์ 21 เมษายน 2026 /PRNewswire/ -- Bybit ตลาดซื้อขายคริปโทเคอร์เรนซีที่มีปริมาณการซื้อขายมากเป็นอันดับสองของโลก รายงานว่าศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) ของตนได้เปิดเผยผลการวิเคราะห์แคมเปญมัลแวร์แบบหลายขั้นตอนที่มีความซับซ้อน ซึ่งมุ่งเป้าไปที่ผู้ใช้ macOS ที่ค้นหา “Claude Code” ซึ่งเป็นเครื่องมือพัฒนาที่ขับเคลื่อนด้วย AI จาก Anthropic
รายงานฉบับนี้ถือเป็นหนึ่งในคำเปิดเผยครั้งแรกจากศูนย์ซื้อขายคริปโทแบบรวมศูนย์ (CEX) เกี่ยวกับแคมเปญภัยคุกคามที่กำลังดำเนินอยู่ซึ่งมุ่งเป้านักพัฒนาผ่านช่องทางการค้นหาเครื่องมือ AI สะท้อนให้เห็นถึงบทบาทที่เพิ่มมากขึ้นของภาคส่วนนี้ในแนวหน้าข้อมูลข่าวกรองด้านไซเบอร์ซีเคียวริตี้
แคมเปญดังกล่าวถูกค้นพบครั้งแรกในเดือนมีนาคม 2026 โดยใช้เทคนิค SEO poisoning เพื่อดันโดเมนอันตรายให้ขึ้นไปอยู่ด้านบนของผลการค้นหา Google ผู้ใช้ถูกเปลี่ยนเส้นทางไปยังหน้าติดตั้งปลอมที่ออกแบบให้คล้ายกับเอกสารประกอบอย่างเป็นทางการอย่างใกล้เคียง ทำให้เกิดห่วงโซ่การโจมตีสองขั้นตอนที่มุ่งเน้นการขโมยข้อมูลบัญชี มุ่งเป้าคริปโตแอสเซต และการเข้าถึงระบบอย่างถาวร
เพย์โหลดเริ่มต้นที่ส่งผ่าน Mach-O dropper ได้ติดตั้ง infostealer ที่ทำงานผ่าน osascript ซึ่งมีลักษณะคล้ายกับสายพันธุ์ที่รู้จักอย่าง AMOS และ Banshee มัลแวร์นี้ใช้ลำดับการทำให้โค้ดคลุมเครือหลายขั้นตอนเพื่อดึงข้อมูลสำคัญออกมา รวมถึงข้อมูลบัญชีเบราว์เซอร์ รายการใน macOS Keychain เซสชัน Telegram โปรไฟล์ VPN และข้อมูลกระเป๋าเงินคริปโต นักวิจัยของ Bybit พบความพยายามเข้าถึงอย่างมีเป้าหมายต่อส่วนขยายกระเป๋าเงินบนเบราว์เซอร์มากกว่า 250 รายการ และแอปกระเป๋าเงินบนเดสก์ท็อปหลายตัว
เพย์โหลดระยะที่สองได้นำแบ็กดอร์ที่พัฒนาด้วย C++ มาใช้ โดยมีความสามารถในการหลบเลี่ยงขั้นสูง รวมถึงการตรวจจับ sandbox และการตั้งค่าขณะรันไทม์ที่ถูกเข้ารหัส มัลแวร์สร้างความถาวรผ่านเอเจนต์ในระดับระบบ และเปิดทางให้ผู้โจมตีสามารถสั่งการจากระยะไกลผ่านการโพลล์ด้วย HTTP ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้อย่างต่อเนื่อง
SOC ของ Bybit ใช้เวิร์กโฟลว์ที่มี AI ช่วยตลอดวงจรการวิเคราะห์มัลแวร์ ทำให้สามารถตอบสนองได้เร็วขึ้นอย่างมากในขณะที่ยังรักษาความลึกในการวิเคราะห์ไว้ได้ การคัดกรองเบื้องต้นและการจัดหมวดหมู่ตัวอย่างไฟล์ Mach-O เสร็จสิ้นภายในไม่กี่นาที โดยโมเดลช่วยระบุพฤติกรรมที่คล้ายคลึงกับตระกูลมัลแวร์ที่รู้จัก
การย้อนรหัสย้อนกลับ (reverse engineering) และการวิเคราะห์ control-flow ที่มี AI ช่วยสนับสนุน ทำให้เวลาที่ต้องใช้ในการตรวจสอบเชิงลึกแบ็กดอร์ระยะที่สองจากเดิมที่คาดไว้หกถึงแปดชั่วโมง ลดลงเหลือไม่ถึง 40 นาที ในเวลาเดียวกัน ท่อส่งอัตโนมัติสำหรับสกัดข้อมูลได้ดึงตัวชี้วัดการถูกโจมตี (IOC) เช่น โครงสร้างพื้นฐานสั่งการและควบคุม ลายเซ็นไฟล์ และรูปแบบพฤติกรรม แล้วทำการแมปเข้ากับเฟรมเวิร์กภัยคุกคามที่มีอยู่
ความสามารถเหล่านี้ทำให้สามารถนำมาตรการตรวจจับไปใช้งานได้ภายในวันเดียวกัน การสร้างกฎด้วยความช่วยเหลือจาก AI สนับสนุนการพัฒนาลายเซ็นภัยคุกคามและกฎสำหรับการตรวจจับที่เอนด์พอยต์ ซึ่งนักวิเคราะห์ได้ตรวจสอบความถูกต้องก่อนนำไปใช้ในสภาพแวดล้อมจริง ร่างรายงานที่สร้างด้วย AI ยังช่วยลดเวลาการจัดทำลง ทำให้ผลิตภัณฑ์ข่าวกรองภัยคุกคามเสร็จสิ้นได้เร็วขึ้นราว 70% เมื่อเทียบกับเวิร์กโฟลว์แบบดั้งเดิม
“ในฐานะหนึ่งในศูนย์ซื้อขายคริปโตรายแรก ๆ ที่เผยแพร่เอกสารเกี่ยวกับแคมเปญมัลแวร์ประเภทนี้ต่อสาธารณะ เราเชื่อว่าการแบ่งปันผลการค้นพบเหล่านี้มีความสำคัญอย่างยิ่งต่อการเสริมสร้างการป้องกันร่วมกันทั้งอุตสาหกรรม” David Zong หัวหน้าฝ่ายควบคุมความเสี่ยงกลุ่มและความปลอดภัยของ Bybit กล่าว “SOC ที่มี AI ช่วยของเราทำให้เราสามารถขยับจากจุดตรวจจับไปสู่การมองเห็นห่วงโซ่การโจมตีทั้งหมดได้ภายในหน้าต่างปฏิบัติการเดียว สิ่งที่เคยต้องใช้ทีมวิเคราะห์ทำงานหลายกะ ทั้งการถอดโค้ด การดึง IOC การจัดทำรายงาน การเขียนกฎ ตอนนี้ทำเสร็จได้ภายในเซสชันเดียว โดยให้ AI รับภาระงานหลักและให้มนุษย์เป็นผู้ตัดสินและตรวจสอบ มองไปข้างหน้า เราจะต้องเผชิญกับสงคราม AI การใช้ AI เพื่อป้องกัน AI เป็นแนวโน้มที่หลีกเลี่ยงไม่ได้ Bybit จะเพิ่มการลงทุนด้าน AI เพื่อความปลอดภัยให้มากขึ้นไปอีก เพื่อให้บรรลุการตรวจจับภัยคุกคามในระดับนาที และการตอบสนองเหตุฉุกเฉินอัตโนมัติอย่างชาญฉลาด”
การสืบสวนยังพบกลยุทธ์วิศวกรรมสังคม รวมถึงหน้าต่างแจ้งรหัสผ่าน macOS ปลอมที่ใช้เพื่อยืนยันและเก็บข้อมูลบัญชีผู้ใช้ไว้ ในบางกรณี ผู้โจมตีพยายามแทนที่แอปกระเป๋าเงินคริปโตที่ถูกต้องอย่าง Ledger Live และ Trezor Suite ด้วยเวอร์ชันที่ฝังโทรจันซึ่งโฮสต์บนโครงสร้างพื้นฐานอันตราย
มัลแวร์โจมตีสภาพแวดล้อมที่หลากหลาย รวมถึงเบราว์เซอร์ที่ใช้ Chromium รุ่นต่าง ๆ ของ Firefox ข้อมูลจาก Safari แอป Apple Notes และไดเรกทอรีไฟล์ภายในเครื่องที่มักใช้จัดเก็บข้อมูลทางการเงินหรือข้อมูลยืนยันตัวตนที่มีความอ่อนไหว
Bybit ระบุโดเมนและปลายทางสั่งการและควบคุมหลายรายการที่เกี่ยวข้องกับแคมเปญนี้ ซึ่งทั้งหมดถูกทำให้ไม่เป็นอันตรายก่อนเปิดเผยต่อสาธารณะ การวิเคราะห์ชี้ให้เห็นว่าผู้โจมตีใช้การโพลล์ผ่าน HTTP แบบไม่ต่อเนื่องแทนการเชื่อมต่อถาวร ทำให้การตรวจจับทำได้ยากขึ้น
เหตุการณ์นี้สะท้อนแนวโน้มที่เพิ่มขึ้นของผู้โจมตีที่มุ่งเป้านักพัฒนาผ่านผลการค้นหาที่ถูกดัดแปลง โดยเฉพาะอย่างยิ่งเมื่อเครื่องมือ AI ถูกใช้งานในกระแสหลักมากขึ้น นักพัฒนายังคงเป็นเป้าหมายมูลค่าสูง เนื่องจากมีสิทธิ์เข้าถึงซอร์สโค้ด โครงสร้างพื้นฐาน และระบบการเงิน
Bybit ยืนยันว่าโครงสร้างพื้นฐานอันตรายถูกระบุเมื่อวันที่ 12 มีนาคม และการวิเคราะห์ การบรรเทาผลกระทบ และมาตรการตรวจจับทั้งหมดแล้วเสร็จภายในวันเดียวกัน การเปิดเผยสาธารณะตามมาในวันที่ 20 มีนาคม พร้อมคำแนะนำในการตรวจจับอย่างละเอียด
#Bybit / #CryptoArk / #NewFinancialPlatform
เกี่ยวกับ Bybit
Bybit เป็นศูนย์ซื้อขายคริปโทเคอร์เรนซีที่มีปริมาณการซื้อขายมากเป็นอันดับสองของโลก ให้บริการผู้ใช้มากกว่า 80 ล้านคนทั่วโลก ก่อตั้งขึ้นในปี 2018 Bybit กำลังนิยามความเปิดกว้างใหม่ในโลกกระจายศูนย์ด้วยการสร้างระบบนิเวศที่เรียบง่าย เปิดกว้าง และเท่าเทียมสำหรับทุกคน ด้วยการให้ความสำคัญกับ Web3 อย่างแข็งแกร่ง Bybit จับมือเชิงกลยุทธ์กับโปรโตคอลบล็อกเชนชั้นนำ เพื่อมอบโครงสร้างพื้นฐานที่แข็งแกร่งและขับเคลื่อนนวัตกรรมบนเชน ด้วยชื่อเสียงด้านการดูแลทรัพย์สินที่ปลอดภัย ตลาดที่หลากหลาย ประสบการณ์ผู้ใช้ที่เข้าใจง่าย และเครื่องมือบล็อกเชนขั้นสูง Bybit ทำหน้าที่เป็นสะพานเชื่อมระหว่าง TradFi และ DeFi ช่วยให้ผู้สร้าง นักพัฒนา และผู้หลงใหลในเทคโนโลยีสามารถปลดล็อกศักยภาพเต็มรูปแบบของ Web3 ค้นพบอนาคตของการเงินแบบกระจายศูนย์ได้ที่ Bybit.com
หากต้องการรายละเอียดเพิ่มเติมเกี่ยวกับ Bybit โปรดเยี่ยมชม Bybit Press
สำหรับสื่อ กรุณาติดต่อ: [email protected]
สำหรับอัปเดตข่าวสาร โปรดติดตาม: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
