นักวิจัยด้านความปลอดภัยทางไซเบอร์ค้นพบแพ็กเกจ NuGet ที่เป็นมัลแวร์ ซึ่งอ้างว่าเป็น Software Development Kit (SDK) สำหรับภาษา C# ของ Sicoob ซึ่งเป็นระบบการเงินร่วมที่ใหญ่ที่สุดแห่งหนึ่งในบราซิล โดยแพ็กเกจดังกล่าวถูกสร้างขึ้นเพื่อลอกข้อมูลสำคัญอย่าง Client ID และใบรับรองดิจิทัล PFX ที่นักพัฒนาใช้ในการยืนยันตัวตนเพื่อเชื่อมต่อกับระบบของธนาคาร

จากการตรวจสอบของ Socket พบว่าแพ็กเกจ “Sicoob.Sdk” เวอร์ชัน 2.0.0 ถึง 2.0.4 ถูกฝังคำสั่งที่ทำหน้าที่ส่งข้อมูลออก (Exfiltrate) แบบลับๆ โดยเจาะจงไปที่ใบรับรอง PFX ซึ่งหากตกไปอยู่ในมือของแฮกเกอร์ จะสามารถนำไปใช้ในการปลอมแปลงตัวตนเข้าถึงระบบธนาคาร หรือลงนามในธุรกรรมทางการเงินได้ นอกจากนี้ ยังมีรายงานว่ามีภัยคุกคามที่คล้ายคลึงกันเกิดขึ้นบนพื้นที่เก็บข้อมูล npm ที่มีเป้าหมายไปที่การขโมยความลับ (Secrets) และข้อมูลประจำตัวสำหรับเข้าถึงระบบคลาวด์

เหตุการณ์นี้เป็นอีกหนึ่งตัวอย่างที่เด่นชัดของกลยุทธ์ Supply Chain Attack ที่แฮกเกอร์หันมาใช้การปลอมแพ็กเกจซอฟต์แวร์โอเพนซอร์ส เพื่อหลีกเลี่ยงการตรวจจับและโจมตีนักพัฒนาโดยตรง ผู้ใช้งานและนักพัฒนาควรตรวจสอบความถูกต้องของแพ็กเกจก่อนนำไปใช้งาน และหลีกเลี่ยงการดาวน์โหลดแพ็กเกจที่ไม่น่าเชื่อถือเพื่อป้องกันไม่ให้ข้อมูลสำคัญขององค์กรรั่วไหลออกไป

คำศัพท์เทคนิคที่น่าสนใจ

• NuGet – ตัวจัดการแพ็กเกจสำหรับแพลตฟอร์ม .NET ใช้ในการดาวน์โหลดและจัดการไลบรารีซอฟต์แวร์
• PFX Certificate (Personal Information Exchange) – รูปแบบของไฟล์ใบรับรองดิจิทัลที่บรรจุทั้งกุญแจสาธารณะและกุญแจส่วนตัว ใช้สำหรับการยืนยันตัวตนและการเข้ารหัสลับ
• Supply Chain Attack – การโจมตีที่แฮกเกอร์ไม่ไปโจมตีเป้าหมายโดยตรง แต่แทรกซ่อนมัลแวร์ลงในซัพพลายเชนของซอฟต์แวร์หรือกระบวนการพัฒนาแทน
• Exfiltrate – กระบวนการถ่ายโอนหรือลักลอบส่งข้อมูลสำคัญออกจากระบบของเหยื่อไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/malicious-sicoob-nuget-steals-banking.html