คนใช้ Mac ระวัง! Lazarus ส่งมัลแวร์ 'Mach-O Man' อาละวาด แฝงมากับการประชุม Zoom

คนใช้ Mac ระวัง! Lazarus ส่งมัลแวร์ ‘Mach-O Man’ อาละวาด แฝงมากับการประชุม Zoom

นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผย แคมเปญมัลแวร์ macOS ตัวใหม่ชื่อ “Mach-O Man“ ที่เชื่อมโยงกับ Lazarus Group (กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ) โดยใช้กลยุทธ์วิศวกรรมสังคมในรูปแบบ “ClickFix” หลอกเหยื่อให้เข้าร่วมการประชุม Zoom หรือ Google Meet ปลอม จากนั้นหลอกให้รันคำสั่งที่จะดาวน์โหลดมัลแวร์เข้าเครื่อง พูดง่ายๆ ก็คือเป้าหมายคือ ดักขโมยรหัสผ่าน คุกกี้ และข้อมูลบน Keychain ของเหยื่อ เพื่อเจาะเข้าระบบบริษัทคริปโตและฟินเทคนั่นเอง

🎯 Mach-O Man คืออะไร และเล่นงานอย่างไร?

รายงานที่เผยแพร่เมื่อวันอังคารที่ผ่านมาโดย Mauro Eldritch ผู้ก่อตั้งบริษัทข่าวกรองภัยคุกคาม BCA Ltd. ระบุว่า ชุดมัลแวร์ “Mach-O Man” ถูกแจกจ่ายผ่านเทคนิควิศวกรรมสังคมที่เรียกว่า “ClickFix” (กลยุทธ์หลอกให้ผู้ใช้คลิกหรือรันคำสั่งเองโดยไม่รู้ตัว ว่ากำลังติดตั้งมัลแวร์)

แอป Mach-O Man Kit ปลอม แหล่งที่มา: ANY.RUN

กระบวนการโจมตีเริ่มจากการล่อเหยื่อเข้าร่วม “การประชุมทางไกลปลอม” บน Zoom หรือ Google Meet ก่อนที่หน้าจอจะแสดงข้อความให้เหยื่อรันคำสั่งบางอย่าง (อ้างว่าเพื่อแก้ปัญหาไมค์หรือกล้อง) แต่คำสั่งเหล่านั้น คือการดาวน์โหลดมัลแวร์เข้าเครื่องในพื้นหลัง โดยอาศัยการยินยอมจากผู้ใช้เอง จึงสามารถหลบเลี่ยงระบบป้องกันแบบดั้งเดิมได้อย่างเนียนๆ

🔓 เป้าหมายคือ “ข้อมูลทุกอย่างบนเครื่อง”

นักวิจัยระบุว่า เมื่อมัลแวร์ฝังตัวสำเร็จ ขั้นตอนสุดท้ายจะเป็น โปรแกรม Stealer (มัลแวร์ประเภทขโมยข้อมูล) ที่ออกแบบมาเพื่อดึงข้อมูลสำคัญ ได้แก่:

• ข้อมูลจาก Browser Extension ต่างๆ รวมถึง กระเป๋าคริปโตบนเบราว์เซอร์
• รหัสผ่านที่บันทึกไว้ในเบราว์เซอร์
• คุกกี้ (Cookies) สำหรับยึดครอง Session การล็อกอิน
• ข้อมูลใน macOSKeychain (คลังเก็บรหัสผ่านของระบบ Mac)
• ข้อมูลอ่อนไหวอื่นๆ บนเครื่อง

หลังจากรวบรวมข้อมูลครบแล้ว มัลแวร์จะบีบอัดทั้งหมดเป็นไฟล์ ZIP แล้วส่งออกผ่าน Telegram ไปยังแฮกเกอร์ ก่อนจะใช้สคริปต์ทำลายตัวเองด้วยคำสั่ง rm ของระบบเพื่อลบร่องรอยทั้งหมด โดยคำสั่งนี้จะลบไฟล์โดยไม่ต้องขอการยืนยันจากผู้ใช้

ขั้นตอนสุดท้ายของมัลแวร์ Stealer . ที่มา : Any.run

💰 เชื่อมโยงกับคดีแฮกระดับประวัติศาสตร์

Lazarus Group เป็นผู้ต้องสงสัยหลักในเหตุการณ์แฮกคริปโตที่ใหญ่ที่สุดในประวัติศาสตร์หลายครั้ง รวมถึง เหตุการณ์แฮก Bybit (กระดานเทรดคริปโตชั้นนำของโลก) มูลค่า 1.4 พันล้านดอลลาร์ในปี 2025 (ประมาณ 49,000 ล้านบาท) ซึ่งถือเป็นการแฮกครั้งใหญ่ที่สุดในวงการคริปโตจนถึงปัจจุบัน

นอกจากนี้ เมื่อต้นเดือนเมษายนที่ผ่านมา แฮกเกอร์เกาหลีเหนือยังใช้ เทคนิควิศวกรรมสังคมที่ใช้ AI ช่วย ในการขโมยเงินประมาณ 100,000 ดอลลาร์ (ราว 3.5 ล้านบาท) จากกระเป๋าคริปโต Zerion โดยเข้าถึง Session ที่ล็อกอินค้างไว้ของทีมงาน รวมถึงรหัสผ่านและ Private Key ของบริษัท

⚠️ ขยายเป้าหมายเกินโลกคริปโต

สิ่งที่น่ากังวลในครั้งนี้คือ Lazarus Group ไม่ได้จำกัดการโจมตีไว้แค่บริษัทคริปโตเท่านั้น แต่ยังขยายไปถึงธุรกิจแบบดั้งเดิมด้วย โดยผลกระทบที่อาจเกิดขึ้นได้แก่ การยึดครองบัญชีผู้ใช้ การเข้าถึงโครงสร้างพื้นฐานโดยไม่ได้รับอนุญาต ความเสียหายทางการเงิน และการรั่วไหลของข้อมูลสำคัญ

นักวิจัยใช้ระบบ Sandbox บนคลาวด์ของ Any.run (แพลตฟอร์มวิเคราะห์มัลแวร์) ในการถอดชิ้นส่วนและวิเคราะห์การทำงานของ Mach-O Man ก่อนนำข้อมูลมาเผยแพร่เพื่อเตือนภัย

อ้างอิงต้นฉบับ:Cointelegraph

ที่มา https://www.bitcoinaddict.com/news/lazarus-macos-malware-mach-o-man

มหากาพย์แฮก KelpDAO 290 ล้านดอลล์! ฝีมือโสมแดง ทำ DeFi ทั่วโลกป่วน

เมื่อวันที่ 18 เมษายน 2026 เกิดการแฮกครั้งใหญ่ที่สุดของ DeFi ในปี 2026 หลังแฮกเกอร์เจาะบริดจ์ข้ามเครือข่าย (Cross-chain Bridge) ของ Kelp DAO (โปรโตคอล Liquid Restaking บน Ethereum) ดูด rsETH มูลค่าประมาณ 290 ล้านดอลลาร์ (ราว 9,355 ล้านบาท)ออกไป โดย LayerZero (โปรโตคอลส่งข้อความและสินทรัพย์ข้ามบล็อกเชน) ระบุว่าเบื้องต้นมีข้อบ่งชี้ว่าเป็นฝีมือของกลุ่ม Lazarus จากเกาหลีเหนือ ผลพวงทำให้ TVL (มูลค่ารวมที่ล็อกอยู่ในระบบ) ของ DeFi หายไปกว่า 13,000 ล้านดอลลาร์ (ราว 442,000 ล้านบาท)**ภายใน 48 ชั่วโมง

พูดง่ายๆ คือ งานนี้ DeFi สะเทือนทั้งระบบไม่น้อยเลยทีเดียว

🔓 รายละเอียดการโจมตี: บริดจ์ถูกเจาะอย่างไร

แฮกเกอร์ดูด rsETH จำนวน 116,500 เหรียญ**มูลค่าประมาณ 290 ล้านดอลลาร์ (ราว 9,355 ล้านบาท) ออกจากบริดจ์ของ Kelp DAO ที่สร้างบนโครงสร้างของ LayerZero ตามรายงานของ CoinDesk นี่ถือเป็นการแฮก DeFi ที่ใหญ่ที่สุดของปี 2026

วิธีการโจมตีเริ่มจากการเจาะระบบ RPC Node (Remote Procedure Call — จุดสื่อสารระหว่างแอปกับบล็อกเชน)**สองจุดที่ Verifier ของ LayerZero ใช้ยืนยันธุรกรรมข้ามเครือข่าย จากนั้นส่ง traffic ขยะจำนวนมหาศาลไป flood node สำรอง เพื่อบังคับให้ระบบสลับมาใช้ node ที่ถูกฝังมัลแวร์ไว้แล้ว

เมื่อ Verifier ยืนยันธุรกรรมปลอมสำเร็จ บริดจ์ก็ปล่อย rsETH มูลค่า 290 ล้านดอลลาร์ไปยัง address ที่แฮกเกอร์ควบคุมอยู่ หลังจากนั้นมัลแวร์ยัง Self-destruct (ทำลายตัวเอง) ลบไฟล์และ log ทิ้งทั้งหมดเพื่อขัดขวางการสืบสวนทางนิติวิทยาศาสตร์

💥 ผลกระทบ DeFi: TVL ระเหย 13,000 ล้านดอลลาร์ใน 2 วัน

เหตุการณ์นี้ทำให้เกิดคลื่นการถอนเงินออกจากโปรโตคอล DeFi ครั้งใหญ่ โดยเฉพาะ Aave (แพลตฟอร์มให้กู้ยืมแบบ DeFi ที่ใหญ่ที่สุด) ที่ประสบปัญหาเงินไหลออกกว่า 10,000 ล้านดอลลาร์ (ราว 322,000 ล้านบาท) ส่งผลให้ TVL ของ Aave ร่วงจาก 45,800 ล้านดอลลาร์เหลือ 35,700 ล้านดอลลาร์**ขณะที่ผู้ใช้แห่ถอนออก

Aave ต้องออกมาตรการฉุกเฉินด้วยการ ระงับตลาด rsETH ทั้งบน V3 และ V4เพื่อจำกัดความเสียหาย โดยรวมแล้ว TVL ทั่วทั้ง DeFi หายไปกว่า 13,000 ล้านดอลลาร์ (ราว 419,000 ล้านบาท)**ภายใน 2 วันหลังการแฮก ตามรายงานของ UPI

🤝 LayerZero VS KelpDAO: ใครต้องรับผิดชอบ?

ทันทีหลังเกิดเหตุ เกิดการโต้แย้งกันระหว่าง LayerZero และ Kelp DAO ว่าใครต้องรับผิดชอบต่อช่องโหว่ครั้งนี้

ฝั่ง LayerZeroระบุว่า Kelp DAO เลือกใช้การตั้งค่าแบบ “1-of-1 Decentralized Verifier Network” (Verifier แบบจุดเดียว) ซึ่งเป็น Single Point of Failure (จุดล้มเหลวเดียว) ที่ LayerZero เคยเตือนซ้ำๆ ไม่ให้ใช้ พร้อมประกาศว่าจะไม่เซ็นยืนยันข้อความให้แอปที่ใช้การตั้งค่าแบบนี้อีกต่อไป

ฝั่ง Kelp DAOโต้กลับกับ CoinDesk ว่าการตั้งค่าของตนเป็นไปตามค่าดีฟอลต์ที่ LayerZero กำหนดไว้ในเอกสารเอง และ Validator ที่ถูกเจาะก็เป็นส่วนหนึ่งของโครงสร้างพื้นฐานของ LayerZero เอง

ที่น่าสนใจคือ นักวิจัยด้านความปลอดภัยอิสระ รวมถึงนักพัฒนาจาก Yearn Finance พบว่า โค้ดการ deploy ที่ LayerZero เผยแพร่ต่อสาธารณะมีค่าดีฟอลต์เป็นแบบ Single-source Verificationทุกเครือข่ายใหญ่ ซึ่งขัดกับคำอ้างของ LayerZero ที่บอกว่า Kelp DAO ใช้การตั้งค่าที่ต่างไปจากคำแนะนำของตน

🇰🇵 เส้นทาง Lazarus: ครั้งที่ 2 ของเดือนเมษายนเพียงเดือนเดียว

การแฮก Kelp DAO ครั้งนี้เป็น DeFi hack รายใหญ่ครั้งที่ 2ที่เชื่อมโยงกับ Lazarus ในเดือนเมษายนเพียงเดือนเดียว ต่อจากเหตุการณ์โจมตี Drift Protocol (เอ็กซ์เชนจ์สัญญาซื้อขายล่วงหน้าแบบ DeFi บน Solana) มูลค่า 285 ล้านดอลลาร์ (ราว 9,194 ล้านบาท) เมื่อวันที่ 1 เมษายน รวมยอดที่กลุ่มนี้กวาดจาก DeFi ไปในเดือนเดียวกว่า 575 ล้านดอลลาร์ (ราว 18,549 ล้านบาท)

ปัจจุบันแฮกเกอร์เริ่มกระบวนการฟอกเงินแล้ว โดยโยกสินทรัพย์ผ่าน Arbitrum ไปเป็นสกุล Stablecoin บนเครือข่าย Tron ตามข้อมูลที่ crypto.news ได้ติดตามไว้

🏦 ผลกระทบต่อความเชื่อมั่นของสถาบัน

Jefferies(วาณิชธนกิจระดับโลก) เตือนว่า การแฮกระดับใหญ่เช่นนี้อาจชะลอความสนใจของ Wall Street ต่อโครงการ Tokenization (การแปลงสินทรัพย์จริงเป็นโทเคนบนบล็อกเชน) ไปสักพัก เพราะสถาบันต่างๆ ต้องกลับมาประเมินความเสี่ยงด้านความปลอดภัยของโครงสร้างบริดจ์ใน DeFi ใหม่

LayerZero ระบุว่ายืนยันแล้วว่า ไม่มีการลุกลาม (Zero Contagion)ไปยังแอปอื่นที่ใช้การตั้งค่าแบบ Multi-verifier พร้อมบังคับให้ทั้งระบบย้ายออกจากการตั้งค่าแบบ Single-validator ทันที

ขณะที่ LayerZero บอกว่ากำลังทำงานร่วมกับ Kelp DAO, Security Alliance และหน่วยงานบังคับใช้กฎหมาย เพื่อไล่ตามเส้นทางเงินที่ถูกขโมยไป แต่การที่แฮกเกอร์ใช้เครื่องมือด้าน Privacy ก็ทำให้การกู้คืนเงินยากขึ้นอย่างมาก

อ้างอิงต้นฉบับ:CoinDesk, crypto.news, UPI /

ที่มา https://www.bitcoinaddict.com/news/kelpdao-290m-hack-lazarus-defi-13-billion

Clarity Act จ่อปลดล็อก! สภาสหรัฐฯ เคลียร์ปมดอกเบี้ย Stablecoin ลงตัว ห้ามฝากกินเปล่า

วุฒิสมาชิกสหรัฐฯ จากสองพรรคกำลังใกล้บรรลุข้อตกลงประเด็น “รางวัล Stablecoin” (Stablecoin Rewards) ในร่างกฎหมาย CLARITY Act ซึ่งเป็นกฎหมายโครงสร้างตลาดคริปโตที่จะแบ่งอำนาจกำกับระหว่าง SEC และ CFTC ให้ชัดเจน พูดง่ายๆ ก็คือ — ด่านใหญ่ที่สุดอย่างเรื่องดอกเบี้ย Stablecoin กำลังจะผ่านแล้ว แต่ยังเหลือปมร้อนอีกสองเรื่อง ทั้งการฟอกเงินและผลประโยชน์ทับซ้อนของตระกูลทรัมป์ที่กวาดรายได้จากคริปโตไปแล้วกว่า 1.4 พันล้านดอลลาร์ (ราว 5.11 หมื่นล้านบาท)

🗽 ปมรางวัล Stablecoin: จุดขัดแย้งใหญ่ที่สุดของกฎหมาย

วุฒิสมาชิก Angela Alsobrooks (เดโมแครต–รัฐแมรีแลนด์) และ Thom Tillis (รีพับลิกัน–รัฐนอร์ทแคโรไลนา) กำลังเร่งยกร่างภาษากฎหมายเพื่อปิดประเด็นที่กลายเป็น “หนามยอกอก” ในการผลักดันกฎหมายสินทรัพย์ดิจิทัลฉบับใหญ่ให้ผ่านสภา — นั่นคือเรื่อง รางวัลที่จ่ายให้ผู้ถือ Stablecoin

เรื่องนี้เคยถูกจัดการไปแล้วบางส่วนใน GENIUS Act (กฎหมายกำกับ Stablecoin ฉบับแรกของสหรัฐฯ ที่ทรัมป์ลงนามไปเมื่อปีก่อน) ซึ่งห้ามผู้ออก Stablecoin จ่ายดอกเบี้ยให้ผู้ถือโดยตรง แต่ไม่ได้ห้ามแพลตฟอร์มอย่าง Coinbase (ตลาดซื้อขายคริปโตรายใหญ่ที่สุดในสหรัฐฯ) มอบรางวัล (Rewards) ให้ผู้ใช้งาน ซึ่งกลายเป็น “ช่องโหว่” ที่ธนาคารพาณิชย์ไม่พอใจอย่างยิ่ง

Meredith Happyโฆษกของวุฒิสมาชิก Alsobrooks กล่าวกับ The Block ว่าเป้าหมายคือ “การพิจารณาร่างกฎหมายแบบสองพรรคให้สำเร็จ” และแม้ประเด็นผลตอบแทนจะอยู่ใน “จุดที่ดีแล้ว” แต่ยังเหลือประเด็นเรื่องการฟอกเงินและจริยธรรมที่ต้องแก้

🏦 ธนาคารกับคริปโต: ศึกแย่งเงินฝาก

กลุ่มธนาคารกำลังคัดค้านการอนุญาตให้จ่ายรางวัล โดยอ้างว่าผลตอบแทนแบบนี้จะดึงเงินฝากออกจากระบบธนาคารดั้งเดิม กระทบธนาคารชุมชน ขณะที่บริษัทคริปโตยืนยันว่าการจำกัดรางวัลจะสกัดการสร้างนวัตกรรม

American Bankers Association (ABA)ถึงขั้นลงโฆษณาในจดหมายข่าว Politico โดยเรียกร้องให้ “ปิดช่องโหว่ Stablecoin” ส่วน Paul Grewal* ประธานเจ้าหน้าที่ฝ่ายกฎหมายของ Coinbase โพสต์บน X (Twitter เดิม) ตรงไปตรงมาว่า “คุณจะเป็นทั้งฝ่ายสนับสนุน CLARITY และต่อต้านรางวัลไปพร้อมกันไม่ได้ เลือกเอาซักทาง”*

แหล่งข่าวใกล้ชิดการเจรจาให้สัมภาษณ์ว่าอุตสาหกรรมคริปโตเจรจาด้วยความสุจริตมาหลายเดือนแล้ว แต่ดูเหมือนธนาคารจะตั้งใจ “ถ่วงเวลา” เพื่อฆ่ากฎหมายนี้

⚖️ ข้อตกลงประนีประนอมที่ “สู้กันมาหนัก”

ตามแหล่งข่าววงใน ร่างภาษากฎหมายล่าสุดที่ประนีประนอมกันมา 3 เดือน จะ:

• ห้ามจ่ายผลตอบแทนแบบ Passive(ผลตอบแทนที่จ่ายโดยไม่ต้องทำอะไร คล้ายดอกเบี้ยเงินฝากธนาคาร)
• อนุญาต Bona Fide Rewards(รางวัลแท้จริงที่จูงใจการใช้งาน Stablecoin เช่น รางวัลจากการทำธุรกรรม) และเทคโนโลยี Crypto-Native ที่กระตุ้นการใช้งานจริง

แนวทางนี้คล้ายกับที่ PayPal ใช้กับเหรียญ PYUSD (Stablecoin ของ PayPal) ที่จ่ายผลตอบแทน 3.7% ต่อปีผ่าน Paxos (ผู้ออกเหรียญที่ได้รับใบอนุญาต) โดยจัดหมวดเป็น “การจ่ายตรงให้ผู้ใช้” ไม่ใช่ดอกเบี้ย

🚨 ด่านต่อไป: การฟอกเงินและจริยธรรมทรัมป์

เมื่อปมรางวัลใกล้ปิดดีล ความสนใจจะย้ายไปสองประเด็นร้อนถัดไป:

1. ประเด็นการฟอกเงิน— วุฒิสมาชิกบางคนกังวลเกี่ยวกับ Blockchain Regulatory Certainty Act* ที่จะระบุชัดว่านักพัฒนาแบบ Non-Custodial (*ผู้พัฒนาซอฟต์แวร์ที่ไม่ถือครองเงินของผู้ใช้) ไม่ใช่ “ผู้รับโอนเงิน” โดยกังวลว่าอาจทำให้อัยการไล่บี้คดีอาชญากรรมทางการเงินยากขึ้น

2. ประเด็นจริยธรรมทรัมป์— Bloomberg ประเมินว่าประธานาธิบดี โดนัลด์ ทรัมป์โกยรายได้จากธุรกิจคริปโตไปแล้วราว 1.4 พันล้านดอลลาร์(ประมาณ 5.11 หมื่นล้านบาท) ทั้งจากโปรเจกต์ DeFi และ Stablecoin อย่าง World Liberty Financial และยังมีหุ้น 20% ในบริษัทขุดเหมือง American Bitcoin อีกด้วย นอกจากนี้ครอบครัวทรัมป์ยังเปิดตัวเหรียญ Memecoin ทั้ง TRUMP และ MELANIA* โดยล่าสุดเตรียมจัดงานเลี้ยงกาล่าสำหรับผู้ถือเหรียญ TRUMP ที่ Mar-a-Lago*

วุฒิสมาชิก Elizabeth Warren, Adam Schiff และ Richard Blumenthal ได้ส่งจดหมายถึง Bill Zanker* ผู้โปรโมตเหรียญ TRUMP เพื่อตั้งคำถามว่าสภาคองเกรสต้องเข้าใจอย่างถ่องแท้ว่าทรัมป์และครอบครัวทำกำไรจากธุรกิจคริปโตมากแค่ไหน และต้องป้องกันผลประโยชน์ทับซ้อนเหล่านี้*

⏰ นาฬิกาเดินทุกวินาที

แรงกดดันเพิ่มขึ้นทุกวัน เพราะเวลาในการเปิดประชุมสภาเหลือน้อยลง วุฒิสมาชิก Bernie Moreno (รีพับลิกัน–รัฐโอไฮโอ) เคยเตือนว่าหากผ่านกฎหมายคริปโตไม่ทันเดือนพฤษภาคม อาจไม่มีโอกาสในอนาคตอันใกล้ ขณะที่ Thom Tillis* บอกว่าคณะกรรมการอาจไม่มีการพิจารณาร่างในเดือนเมษายนนี้ แม้จะมีแรงผลักจากวุฒิสมาชิก Cynthia Lummis (*รีพับลิกัน–รัฐไวโอมิง) ก็ตาม

อ้างอิงต้นฉบับ:The Block

ที่มา https://www.bitcoinaddict.com/news/clarity-act-stablecoin-rewards-breakthrough