ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนนักพัฒนาและหน่วยงานที่มีการใช้งานแพ็กเกจจาก Python Package Index (PyPI) เฝ้าระวังกรณีพบแพ็กเกจอันตราย ได้แก่ uuid32-utils, colorinal และ termncolor ซึ่งถูกใช้เป็นช่องทางส่งมัลแวร์ตระกูลใหม่ชื่อ ZiChatBot ไปยังระบบ Windows และ Linux ซึ่งอาจนำไปสู่การสั่งรันคำสั่งจากผู้ไม่หวังดี โดยไม่ได้รับอนุญาต
1. รายละเอียดภัยคุกคาม [1]
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ตรวจพบแพ็กเกจอันตรายบน PyPI ซึ่งเป็นเว็บไซต์ศูนย์กลางสำหรับเผยแพร่และดาวน์โหลดไลบรารีภาษา Python ที่ได้รับความนิยมในหมู่นักพัฒนาซอฟต์แวร์ โดยพบแพ็กเกจจำนวน 3 รายการ ได้แก่ uuid32-utils, colorinal และ termncolor ซึ่งเปิดให้ดาวน์โหลดบน PyPI ในลักษณะคล้ายแพ็กเกจ Python ทั่วไป แต่ภายในกลับมีการแอบฝังโค้ดอันตรายเพื่อใช้ส่งไฟล์มัลแวร์เข้าสู่ระบบของผู้ใช้งานโดยไม่รู้ตัว ทั้งนี้พบว่าแพ็กเกจดังกล่าวถูกดาวน์โหลดรวมกันมากกว่า 2,000 ครั้งก่อนถูกนำออกจากระบบ
กรณีดังกล่าวอาจส่งผลให้มัลแวร์ที่ถูกเรียกว่า ZiChatBot ถูกติดตั้งเข้าสู่เครื่อง Windows หรือ Linux และตั้งค่ากลไกเพื่อให้สามารถทำงานต่อเนื่องภายในระบบได้ โดยบนระบบปฏิบัติการ Windows พบการใช้ไฟล์ terminate.dll ส่วนบนระบบปฏิบัติการ Linux พบการใช้ไฟล์ terminate.so เพื่อคงอยู่ในระบบ นอกจากนี้ยังพบพฤติกรรมเชื่อมต่อผ่าน Zulip API เพื่อรับคำสั่งจากผู้โจมตี กรณีดังกล่าวอาจนำไปสู่การสั่งรันคำสั่งจากผู้ไม่หวังดี การขโมยข้อมูลสำคัญ การเข้าถึง credential, token หรือ secret ภายในระบบ ตลอดจนการใช้เครื่องที่ได้รับผลกระทบเป็นจุดเริ่มต้นในการโจมตีระบบอื่นต่อไปได้
2. ระบบหรือผู้ใช้งานที่อาจได้รับผลกระทบ
2.1 นักพัฒนา Python ที่เคยติดตั้งแพ็กเกจ uuid32-utils, colorinal หรือ termncolor
2.2 เครื่อง Windows และ Linux ที่มีการติดตั้งแพ็กเกจดังกล่าว
2.3 ระบบพัฒนาโปรแกรม เครื่อง build server หรือระบบ CI/CD ที่ติดตั้ง dependency จาก PyPI
2.4 องค์กรที่ไม่มีการตรวจสอบความน่าเชื่อถือของแพ็กเกจหรือ dependency ก่อนนำไปใช้งาน
2.5 ผู้ใช้งานที่ติดตั้งแพ็กเกจ Python จากแหล่งสาธารณะโดยไม่ได้ตรวจสอบผู้พัฒนา ประวัติแพ็กเกจ หรือความผิดปกติของโค้ด
3. ผลกระทบที่อาจเกิดขึ้น
หากถูกโจมตีสำเร็จ ผู้โจมตีอาจสามารถสั่งรันโค้ดบนเครื่องเป้าหมาย ขโมยข้อมูลสำคัญ เข้าถึง credential, token หรือ secret ที่อยู่บนเครื่อง ใช้เครื่องที่ติดมัลแวร์เป็นจุดตั้งต้นในการโจมตีระบบอื่น หรือส่งผลกระทบต่อกระบวนการพัฒนาและ software supply chain ภายในองค์กรได้
4. แนวทางการตรวจสอบและป้องกัน [2]
4.1 ตรวจสอบว่ามีการติดตั้งแพ็กเกจ uuid32-utils, colorinal หรือ termncolor ในระบบหรือไม่
4.2 ตรวจสอบไฟล์หรือพาธต้องสงสัย เช่น terminate.dll, terminate.so หรือ /tmp/obsHub/obs-check-update
4.3 ตรวจสอบรายการ auto-run ใน Windows Registry และ crontab ที่ผิดปกติ
4.4 ตรวจสอบพฤติกรรมการเชื่อมต่อไปยัง Zulip API หรือบริการภายนอกที่ไม่เกี่ยวข้องกับการใช้งานปกติ
4.5 ใช้ EDR/Antivirus และระบบตรวจจับพฤติกรรมผิดปกติบนเครื่องนักพัฒนา เครื่อง build และระบบ CI/CD
5. แนวทางลดความเสี่ยงชั่วคราว
5.1 ลบแพ็กเกจที่เกี่ยวข้องออกจากระบบทันที หากพบว่ามีการติดตั้ง
5.2 ตรวจสอบและเปลี่ยน credential, token, API key หรือ secret ที่อาจอยู่บนเครื่องที่ได้รับผลกระทบ
5.3 จำกัดสิทธิ์ของเครื่องนักพัฒนา เครื่อง build และระบบ CI/CD ตามหลัก least privilege
5.5 หลีกเลี่ยงการติดตั้งแพ็กเกจที่มีประวัติน้อย ผู้ดูแลไม่ชัดเจน หรือมีพฤติกรรม dependency ผิดปกติ
5.6 เฝ้าระวัง IOC และพฤติกรรมที่เกี่ยวข้องกับ supply chain attack ผ่าน SIEM, EDR, Firewall และ Proxy
แหล่งอ้างอิง