📝 ภาพรวมของเหตุการณ์ (Overview)
ในช่วงปลายเดือนมกราคม ปี 2024 เกิดเหตุการณ์สร้างความตื่นตระหนกในชุมชนผู้เล่น The Sims 4 เมื่อมีบัญชีผู้ใช้เปิดใหม่ที่ตั้งชื่อคล้ายคลึงกับนักทำม็อด (Modder) ชื่อดังอย่าง PimpMySims4 ได้อัปโหลดไฟล์ม็อดลงบนแพลตฟอร์มชุมชนม็อด ModTheSims โดยแอบอ้างว่านี่คือม็อดเวอร์ชันอัปเดตล่าสุด
ไม่กี่วันต่อมา เหตุการณ์ลักษณะเดียวกันก็เกิดขึ้นซ้ำบนแพลตฟอร์ม CurseForge โดยมีบัญชีเปิดใหม่ใช้รูปโปรไฟล์ของนักทำม็อดชื่อดังอีกรายคือ MSQSIMS และอัปโหลดไฟล์ม็อดตัวเดียวกันลงไป ซึ่งไฟล์ที่ถูกอัปโหลดในทั้งสองเหตุการณ์นี้ แท้จริงแล้วเป็นไฟล์ม็อดเก่าที่พังและทำให้ผู้เล่นที่ดาวน์โหลดไปประสบปัญหาเข้าเกมไม่ได้
หลังจากนั้นเพียงไม่กี่วัน MSQSIMS ได้ออกมายืนยันว่า หน้าเพจทางการของพวกเขาบนเว็บ TheSimsSource ถูกแฮ็ก (Hijacked) ไปนานแล้วโดยที่พวกเขาไม่รู้ตัว และม็อดหลายตัวถูกฝังมัลแวร์ลงไป ยิ่งไปกว่านั้น นักทำม็อดชื่อดังรายอื่นๆ ก็เริ่มออกมาเปิดเผยว่าพวกเขาตกเป็นเหยื่อของการถูกแฮ็กเพจเช่นเดียวกัน
และในช่วงต้นปี 2026 ได้มีการกล่างถึงเว็บ MODTheSims ก็ถูกถูกแฮ็ก และการมีกล่างถึงโค้ด silkrose_debug ที่ถูกใส่ลงใน Mod ของนักม็อตทั้ง NateTheL0ser,PurrSimity และ jellyheadDimbulb
รวมไปถึงเว็บ LOVERSLAB มีการรายงานเรื่อง MOD VIRGINITY SYSTEM BY O_PEDRÃO ติดโค้ด silkrose_debug เช่นกัน
เหตุการณ์นี้ลุกลามจนทำให้แพลตฟอร์มแจกม็อดรายใหญ่หลายแห่งต้องประกาศปิดปรับปรุงชั่วคราวเป็นเวลาหลายวัน เพื่อกวาดล้างไฟล์ที่ติดเชื้อ แม้ทางแพลตฟอร์มจะรับประกันว่าไฟล์อันตรายถูกลบออกไปหมดแล้ว แต่จนถึงตอนนี้ก็ยังไม่มีใครทราบว่าแฮกเกอร์สามารถเจาะเข้าถึงบัญชีทางการของนักทำม็อดเหล่านั้นได้อย่างไร
ในเวลาต่อมา สมาชิกในชุมชนม็อดได้สร้าง “เครื่องมือ” สำหรับตรวจจับและลบไฟล์อันตรายออกจากเครื่องของผู้เล่น อย่างไรก็ตาม ผู้เล่นที่ตกเป็นเหยื่อได้รับคำแนะนำอย่างเร่งด่วนให้เปลี่ยนรหัสผ่านบัญชีออนไลน์ทั้งหมด และอายัด/อัปเดตข้อมูลสำคัญ เช่น หมายเลขบัตรเครดิต ที่เคยบันทึกไว้ในคอมพิวเตอร์ที่ติดเชื้อ
💻 ระบบและผู้เล่นที่ได้รับผลกระทบ (Affected Environment / User)
- ระบบปฏิบัติการ: การโจมตีนี้พุ่งเป้าไปที่ ระบบปฏิบัติการ Windows เป็นหลัก เนื่องจากไฟล์สั่งการ (Payload) ที่ใช้ในการรวบรวมและอัปโหลดข้อมูลเป็นไฟล์นามสกุล .exe
- ผู้ใช้ Linux: แหล่งข่าวระบุว่าผู้ใช้ Linux (ตระกูล Debian) อาจได้รับผลกระทบด้วยเช่นกัน หากมีการติดตั้งโปรแกรม Wine (โปรแกรมจำลองที่ทำให้รันไฟล์ .exe ของ Windows บน Linux ได้)
- เป้าหมาย: พุ่งเป้าไปที่เกมเมอร์ The Sims 4 ที่ชอบโหลดม็อดมาปรับแต่งเกม แม้ทางทีมผู้พัฒนา The Sims 4 จะสนับสนุนความคิดสร้างสรรค์ของชุมชนมาอย่างยาวนาน แต่พวกเขา ไม่ได้ทำการตรวจสอบคัดกรอง หรือรับรองความปลอดภัยของม็อดใดๆ ทั้งสิ้น ผู้เล่นจึงต้องรับความเสี่ยงและระมัดระวังด้วยตนเอง
🦠 มัลแวร์แพร่กระจายได้อย่างไร? (How Malicious Files Spread)
แฮกเกอร์ใช้วิธีการหลักๆ 2 วิธีในการกระจายมัลแวร์:
- สร้างบัญชีปลอมแอบอ้าง (Newly registered accounts): แฮกเกอร์สมัครบัญชีใหม่โดยตั้งชื่อให้คล้ายกับ Modder ชื่อดัง หรือขโมยรูปโปรไฟล์มาใช้ เพื่อหลอกให้ผู้เล่นเชื่อใจ จากนั้นก็อัปโหลดม็อดอันตรายและอ้างว่าเป็น “เวอร์ชันอัปเดตล่าสุด”
- แฮ็กบัญชีทางการ (Official page hijack): แฮกเกอร์เจาะเข้าไปยึดหน้าเพจทางการของนักทำม็อดตัวจริงบนแพลตฟอร์มต่างๆ แล้วอัปโหลดไฟล์ม็อดที่ฝังมัลแวร์ลงไปทับไฟล์เดิม ซึ่งวิธีนี้แนบเนียนมากและยังไม่มีข้อมูลแน่ชัดว่าแฮกเกอร์เจาะระบบเข้าไปได้อย่างไร
⚙️ ลำดับขั้นตอนการโจมตี (The Flow of the Attack)
- ผู้เล่นดาวน์โหลดม็อดที่ติดเชื้อมาติดตั้งในโฟลเดอร์เกม
- เมื่อเข้าเกมและเกมโหลดไฟล์ม็อด ไฟล์รันไทม์นามสกุล .exe จะแอบทำงานอยู่เบื้องหลัง
- ตัวมัลแวร์เริ่มทำการรวบรวม (Compile) ข้อมูลสำคัญทั้งหมดในเครื่องคอมพิวเตอร์
- มัลแวร์ทำการอัปโหลดข้อมูลที่ขโมยมา ส่งกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์
📂 รายละเอียดข้อมูลที่ถูกขโมย (Details of the Collected Data)
มัลแวร์ตัวนี้ (Infostealer) ถูกออกแบบมาให้ล้วงข้อมูลส่วนตัวแทบจะทุกอย่างในคอมพิวเตอร์ของคุณ ได้แก่:
🌐 ข้อมูลจากเว็บเบราว์เซอร์ (Chromium: Chrome, Edge, Opera, Yandex)
- รหัสผ่านที่บันทึกไว้ (Passwords)
- ข้อมูลบัตรเครดิต (Credit cards)
- คุกกี้ (Cookies)
- ประวัติการเข้าชมเว็บ (History)
- ข้อมูลการกรอกอัตโนมัติ (Autofill information)
🦊 ข้อมูลจากเว็บเบราว์เซอร์ (Gecko: Firefox, Waterfox, Palemoon)
- รหัสผ่าน (Passwords)
- คุกกี้ (Cookies)
- ประวัติการเข้าชมเว็บ (History)
🖥️ ข้อมูลระบบคอมพิวเตอร์ (Machine Data)
- ชื่อผู้ใช้ (Username) และชื่อคอมพิวเตอร์ (Computer name)
- เวอร์ชันของ Windows และรหัส Product key
- ข้อมูลฮาร์ดแวร์: รุ่น CPU, รุ่น GPU, ความจุ RAM
- หมายเลขประจำเครื่อง (UUID)
- หมายเลขไอพี (IP Address) และประเทศ
💬 ข้อมูลจาก Discord
- โทเคนยืนยันตัวตน (Auth token) ทำให้แฮกเกอร์เข้าใช้งานบัญชีคุณได้โดยไม่ต้องรู้รหัสผ่าน
- ข้อมูลการชำระเงิน
- มัลแวร์สามารถแฝงตัวสั่งการบอท (Bot automated chat) และดึงข้อมูลจาก Discord ได้ทุกเวอร์ชัน (แอปปกติ, ตัวเทสต์ PTB/Canary, Lightcord รวมถึงการเล่นผ่านเว็บเบราว์เซอร์)
🎮 ข้อมูลแอปพลิเคชันและไฟล์อื่นๆ
- Steam: ขโมยชื่อผู้ใช้และรหัสผ่าน
- Telegram: ขโมยข้อมูลในแอป
- กระเป๋าเงินคริปโต (Crypto wallets): แอบดึงข้อมูลจาก Exodus และ Atomic
- ไฟล์เอกสารทั่วไป: มัลแวร์จะสแกนหาไฟล์ในเครื่องที่มีชื่อประกอบด้วยคำสั่งเฉพาะ เช่น password, seed, mnemo, phrase, secret, account ฯลฯ เพื่อขโมยรหัสผ่านหรือคีย์กระเป๋าเงินคริปโตที่คุณพิมพ์เก็บไว้ในเครื่อง
🛡️ ระบบป้องกันไวรัส (F-Secure) ตรวจจับได้หรือไม่?
สำหรับซอฟต์แวร์รักษาความปลอดภัยของ F-Secure สามารถตรวจจับภัยคุกคามนี้ได้แล้ว โดยไฟล์ที่ใช้ในการรวบรวมและอัปโหลดข้อมูลจากเครื่องของเหยื่อ ได้ถูกขึ้นบัญชีดำระบุว่าเป็นมัลแวร์อันตราย
เหตุการณ์นี้พิสูจน์ให้เห็นว่า มัลแวร์ขโมยข้อมูล (Infostealer) สามารถแพร่กระจายและซ่อนตัวอยู่ในรูปแบบของม็อดเกมได้อย่างแนบเนียน
ในกรณีของ The Sims 4 มัลแวร์ถูกซ่อนไว้อย่างแยบยลในไฟล์นามสกุล .ts4script ซึ่งเป็นไฟล์ที่ตัวเกมบังคับใช้เพื่อโหลดทรัพยากรส่วนเสริม ทันทีที่ผู้เล่นเข้าเกมและเกมทำการอ่านไฟล์ที่ติดเชื้อ มัลแวร์จะถูกกระตุ้นให้ตื่นขึ้นและเริ่มค้นหา รวบรวมข้อมูลสำคัญทั้งหมดในเครื่อง จากนั้นจึงส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์
และมีความเป็นไปได้สูงมากที่ข้อมูลส่วนตัว มัดจำ รหัสผ่าน และบัตรเครดิตที่ถูกขโมยไปนี้ จะถูกนำไปใช้เพื่อทำการโจมตีทางไซเบอร์แบบเจาะจงเป้าหมายกับผู้เล่นในอนาคตต่อไป ผู้เล่นทุกคนจึงควรสแกนเครื่องและเปลี่ยนรหัสผ่านเพื่อความปลอดภัยสูงสุด
โดยหากคุณเคยดาวโหลด MOD ไฟล์ต้นฉบับและไฟล์ exe สำหรับเครื่องมือทำความสะอาดเครื่องของคุณ หากคุณดาวน์โหลดม็อด “Social Events – Unlimited Time” สำหรับเกม Sims 4 มีคำว่า Social Events ใดๆ ในช่วงปี 2024-2025 สามารถดาวโหลดโปรแกรมนี้ของทาง OverWolf หรือในนามโปรแกรม curseforge เว็บชื่อดังที่ให้บริการดาวโหลด MOD ต่างๆ เพื่อกวาดล้างซากที่เหลืออยู่ได้ในทันที