- ដោយ Admin
- Feb 03, 2026
កំពុងផ្ទុក...
កំពុងផ្ទុក...
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញផ្នែកបន្ថែមថ្មីពីរនៅលើ Microsoft Visual Studio Code (VS Code) Marketplace ដែលត្រូវបានរចនាឡើងដើម្បីឆ្លងមេរោគលួចចូលម៉ាស៊ីនអ្នកអភិវឌ្ឍន៍។
ផ្នែកបន្ថែម VS Code ក្លែងបន្លំជាស្បែកងងឹតលំដាប់ខ្ពស់ និងជំនួយការសរសេរកូដដែលដំណើរការដោយបញ្ញាសិប្បនិម្មិត (AI) ប៉ុន្តែតាមពិតវាមានមុខងារសម្ងាត់ដើម្បីទាញយកបន្ទុកបន្ថែម ថតរូបអេក្រង់ និងស្រូបយកទិន្នន័យ។ ព័ត៌មានដែលចាប់យកត្រូវបានផ្ញើទៅកាន់ម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។
លោក Idan Dardikman មកពី Koi Security បាននិយាយថា "កូដរបស់អ្នក។ អ៊ីមែលរបស់អ្នក។ DM របស់ Slack របស់អ្នក។ អ្វីក៏ដោយដែលមាននៅលើអេក្រង់របស់អ្នក ពួកគេក៏ឃើញវាដែរ"។ "ហើយនោះគ្រាន់តែជាការចាប់ផ្តើមប៉ុណ្ណោះ។ វាក៏លួចពាក្យសម្ងាត់ WiFi របស់អ្នក អានក្ដារតម្បៀតខ្ទាស់របស់អ្នក និងលួចយកវគ្គកម្មវិធីរុករករបស់អ្នកផងដែរ"។
ឈ្មោះនៃផ្នែកបន្ថែមមាននៅខាងក្រោម -
-BigBlack.bitcoin-black (ការដំឡើងចំនួន 16) - ត្រូវបានដកចេញដោយ Microsoft នៅថ្ងៃទី 5 ខែធ្នូ ឆ្នាំ 2025
-BigBlack.codo-ai (ការដំឡើងចំនួន 25) - ត្រូវបានដកចេញដោយ Microsoft នៅថ្ងៃទី 8 ខែធ្នូ ឆ្នាំ 2025
បញ្ជីផ្នែកបន្ថែមដែលត្រូវបានដកចេញរបស់ Microsoft ពីទីផ្សារបង្ហាញថា ក្រុមហ៊ុនក៏បានដកចេញកញ្ចប់ទីបីដែលមានឈ្មោះថា "BigBlack.mrbigblacktheme" ពីអ្នកបោះពុម្ពផ្សាយដូចគ្នា ដោយសារតែមានផ្ទុកមេរោគ។ Dardikman បានប្រាប់ The Hacker News ថា ផ្នែកបន្ថែមនេះក៏មានមេរោគដូចគ្នានឹងពីរផ្សេងទៀតដែរ ប៉ុន្តែបានកត់សម្គាល់ថាវាមិនបង្កផលប៉ះពាល់ដល់ពិភពពិតទេ ព្រោះវាត្រូវបានដកចេញយ៉ាងឆាប់រហ័ស។
ខណៈពេលដែល "BigBlack.bitcoin-black" ធ្វើឱ្យសកម្មលើសកម្មភាព VS Code នីមួយៗ Codo AI បង្កប់មុខងារព្យាបាទរបស់វានៅក្នុងឧបករណ៍ដែលដំណើរការ ដោយហេតុនេះអនុញ្ញាតឱ្យវារំលងការរកឃើញ។
កំណែមុនៗនៃផ្នែកបន្ថែមបានភ្ជាប់មកជាមួយនឹងសមត្ថភាពក្នុងការប្រតិបត្តិស្គ្រីប PowerShell ដើម្បីទាញយកបណ្ណសារ ZIP ដែលការពារដោយពាក្យសម្ងាត់ពីម៉ាស៊ីនមេខាងក្រៅ ("syn111222334445556667778889990[.]org") និងស្រង់ចេញនូវ payload សំខាន់ពីវាដោយប្រើវិធីសាស្ត្របួនផ្សេងគ្នា៖ Windows native Expand-Archive, .NET System.IO.Compression, DotNetZip និង 7-Zip (ប្រសិនបើបានដំឡើង)។
ទោះជាយ៉ាងណាក៏ដោយ អ្នកវាយប្រហារត្រូវបានគេនិយាយថាបានបញ្ជូនកំណែដែលបង្កើតបង្អួច PowerShell ដែលអាចមើលឃើញដោយអចេតនា ហើយអាចជូនដំណឹងដល់អ្នកប្រើប្រាស់។ ទោះជាយ៉ាងណាក៏ដោយ ការធ្វើម្តងទៀតជាបន្តបន្ទាប់ត្រូវបានគេរកឃើញថាលាក់បង្អួច និងធ្វើឱ្យដំណើរការទាំងមូលមានភាពរលូនដោយប្តូរទៅស្គ្រីបបាច់ដែលប្រើពាក្យបញ្ជា curl ដើម្បីទាញយកឯកសារដែលអាចប្រតិបត្តិបាន និង DLL។
ឯកសារដែលអាចប្រតិបត្តិបានគឺជាឯកសារគោលពីរ Lightshot ស្របច្បាប់ដែលត្រូវបានប្រើដើម្បីផ្ទុក DLL ក្លែងក្លាយ ("Lightshot.dll") តាមរយៈការលួច DLL ដែលបន្តប្រមូលមាតិកាក្ដារតម្បៀតខ្ទាស់ បញ្ជីកម្មវិធីដែលបានដំឡើង ដំណើរការដែលកំពុងដំណើរការ រូបថតអេក្រង់ផ្ទៃតុ លិខិតសម្គាល់ Wi-Fi ដែលបានរក្សាទុក និងព័ត៌មានប្រព័ន្ធលម្អិត។ វាក៏បើកដំណើរការ Google Chrome និង Microsoft Edge ក្នុងរបៀបគ្មានក្បាលដើម្បីចាប់យកខូគីដែលបានរក្សាទុក និងលួចវគ្គអ្នកប្រើប្រាស់។
លោក Dardikman បាននិយាយថា "អ្នកអភិវឌ្ឍន៍អាចដំឡើងអ្វីដែលមើលទៅដូចជាស្បែកដែលគ្មានគ្រោះថ្នាក់ ឬឧបករណ៍ AI មានប្រយោជន៍ ហើយក្នុងរយៈពេលប៉ុន្មានវិនាទី ពាក្យសម្ងាត់ WiFi មាតិកាក្ដារតម្បៀតខ្ទាស់ និងវគ្គកម្មវិធីរុករករបស់ពួកគេកំពុងត្រូវបានលួចទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ"។
ការបង្ហាញព័ត៌មាននេះកើតឡើងនៅពេលដែល Socket បាននិយាយថាខ្លួនបានកំណត់អត្តសញ្ញាណកញ្ចប់ព្យាបាទនៅទូទាំងប្រព័ន្ធអេកូឡូស៊ី Go, npm និង Rust ដែលមានសមត្ថភាពប្រមូលទិន្នន័យរសើប -
កញ្ចប់ Go ដែលមានឈ្មោះថា "github[.]com/bpoorman/uuid" និង "github[.]com/bpoorman/uid" ដែលមានតាំងពីឆ្នាំ 2021 និងបណ្ណាល័យ UUID ដែលទុកចិត្តរបស់ typosquat ("github[.]com/google/uuid" និង "github[.]com/pborman/uuid") ដើម្បីច្រោះទិន្នន័យទៅកាន់គេហទំព័របិទភ្ជាប់ដែលមានឈ្មោះថា dpaste នៅពេលដែលកម្មវិធីមួយហៅមុខងារជំនួយដែលគេសន្មត់ថាមានឈ្មោះថា "valid" រួមជាមួយនឹងព័ត៌មានដែលត្រូវផ្ទៀងផ្ទាត់។
សំណុំនៃកញ្ចប់ npm ចំនួន 420 ដែលមានតែមួយគត់ដែលបានបោះពុម្ពផ្សាយដោយអ្នកគំរាមកំហែងដែលទំនងជានិយាយភាសាបារាំង ដែលធ្វើតាមគំរូដាក់ឈ្មោះដែលស៊ីសង្វាក់គ្នា រួមទាំង "elf-stats-*" ដែលខ្លះមានកូដដើម្បីប្រតិបត្តិសែលបញ្ច្រាស និងច្រោះឯកសារទៅកាន់ចំណុចបញ្ចប់ Pipedream។
ប្រអប់ Rust មួយដែលមានឈ្មោះថា finch-rust ត្រូវបានបោះពុម្ពផ្សាយដោយ faceless ដែលធ្វើត្រាប់តាមឧបករណ៍ជីវព័ត៌មានវិទ្យាស្របច្បាប់ "finch" ហើយបម្រើជាឧបករណ៍ផ្ទុកសម្រាប់ payload ដែលមានគំនិតអាក្រក់តាមរយៈកញ្ចប់លួចព័ត៌មានសម្ងាត់ដែលគេស្គាល់ថា "sha-rust" នៅពេលដែលអ្នកអភិវឌ្ឍន៍ប្រើមុខងារ sketch serialization របស់បណ្ណាល័យ។
អ្នកស្រាវជ្រាវ Socket លោក Kush Pandya បាននិយាយថា "Finch-rust ដើរតួជាឧបករណ៍ផ្ទុកមេរោគ។ វាភាគច្រើនមានលេខកូដស្របច្បាប់ដែលចម្លងពីកញ្ចប់ finch ស្របច្បាប់ ប៉ុន្តែរួមបញ្ចូលបន្ទាត់ព្យាបាទតែមួយដែលផ្ទុក និងប្រតិបត្តិ payload sha-rust"។ "ការបំបែកកង្វល់នេះធ្វើឱ្យការរកឃើញកាន់តែពិបាក៖ finch-rust មើលទៅមិនមានគ្រោះថ្នាក់នៅពេលដាច់ដោយឡែក ខណៈពេលដែល sha-rust មានមេរោគពិតប្រាកដ"។
