ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามรายงานพบแพ็กเกจอันตรายบน npm จำนวน 4 รายการ โดยมีการนำโค้ดมัลแวร์ Shai-Hulud ที่รั่วไหลมาดัดแปลงใช้งานเพื่อขโมยข้อมูลสำคัญของนักพัฒนา และพบแพ็กเกจที่มีความสามารถเปลี่ยนเครื่องเหยื่อให้เป็นส่วนหนึ่งของ Botnet สำหรับโจมตีแบบ DDoS ได้
1. รายละเอียดภัยคุกคาม [1][2]
แคมเปญโจมตีซัพพลายเชนผ่าน npm registry โดยผู้ไม่หวังดีเผยแพร่แพ็กเกจอันตรายผ่านบัญชีเดียวกัน และใช้การตั้งชื่อแพ็กเกจให้คล้ายกับแพ็กเกจที่นักพัฒนาคุ้นเคย เพื่อเพิ่มโอกาสให้ผู้ใช้ดาวน์โหลดและติดตั้งผิดพลาด เมื่อติดตั้งแล้ว แพ็กเกจเหล่านี้จะมีพฤติกรรมแตกต่างกันไป ตั้งแต่การขโมยข้อมูลสำคัญ การส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของผู้โจมตี ไปจนถึงการฝังมัลแวร์สำหรับใช้เครื่องเหยื่อเป็นส่วนหนึ่งของ DDoS Botnet โดยแพ็กเกจ npm อันตรายที่พบในแคมเปญมีจำนวน 4 รายการ ได้แก่
1.1 chalk-tempalte เป็นแพ็กเกจที่มีโค้ดที่เป็น clone ของ Shai-Hulud ซึ่งถูกใช้เพื่อขโมยข้อมูลและส่งไปยังเซิร์ฟเวอร์ควบคุมของผู้โจมตี รวมถึงใช้ GitHub token ที่ขโมยได้เพื่อสร้าง public repository สำหรับเผยแพร่ข้อมูลที่ถูกขโมย
1.2 @deadcode09284814/axios-util เป็นแพ็กเกจที่มีพฤติกรรมขโมยข้อมูลสำคัญ เช่น credentials, SSH keys, environment variables และ cloud credentials
1.3 axois-utils เป็นแพ็กเกจที่มีความสามารถขโมยข้อมูล และติดตั้งมัลแวร์ Phantom Bot เพื่อใช้เครื่องที่ติดมัลแวร์เป็นส่วนหนึ่งของ DDoS Botnet โดยรองรับการโจมตีแบบ HTTP, TCP และ UDP flood รวมถึง TCP reset attack
1.4 color-style-utils เป็นแพ็กเกจที่มีพฤติกรรมขโมยข้อมูล เช่น ข้อมูลระบบ, IP address และข้อมูลกระเป๋าเงินคริปโทเคอร์เรนซี
2. ผลกระทบที่อาจเกิดขึ้น
2.1 ข้อมูลสำคัญของนักพัฒนา เช่น API Key, Token, Secrets, SSH Keys และ Cloud Credentials อาจถูกขโมย
2.2 บัญชี GitHub หรือระบบพัฒนาอาจถูกนำไปใช้สร้าง repository เพื่อเผยแพร่ข้อมูลที่ถูกขโมย
2.3 เครื่องที่ติดแพ็กเกจอันตรายอาจถูกใช้เป็นส่วนหนึ่งของ DDoS Botnet โดยเฉพาะกรณีแพ็กเกจ axois-utils
2.4 อาจกระทบต่อซัพพลายเชนซอฟต์แวร์ หากแพ็กเกจถูกนำไปใช้ในโปรเจกต์หรือ pipeline ขององค์กร
3. แนวทางการป้องกันและลดความเสี่ยง
3.1 ตรวจสอบว่ามีการติดตั้งแพ็กเกจอันตรายในเครื่องนักพัฒนา ระบบ CI/CD, Repository หรือระบบที่เกี่ยวข้องขององค์กรหรือไม่
3.2 หากพบการติดตั้ง ให้ลบแพ็กเกจดังกล่าวทันที และตรวจสอบ dependency lockfile, ระบบ CI/CD pipeline และเครื่องนักพัฒนาที่เกี่ยวข้อง
3.3 เปลี่ยนหรือยกเลิก credentials, API keys, cloud keys, GitHub tokens, SSH keys และ secrets ที่อาจเกี่ยวข้องทันที
3.4 ตรวจสอบ GitHub และ Audit Log ว่ามีการสร้าง Repository, Token, Workflow, Commit หรือ Pull Request ที่ผิดปกติหรือไม่
3.5 ตรวจสอบย้อนหลังจาก DNS Log, Proxy Log, Firewall Log, EDR/XDR และ Cloud Log เพื่อค้นหาการเชื่อมต่อไปยังโดเมนหรือ IP Address ต้องสงสัยที่เกี่ยวข้องกับแคมเปญนี้
4. คำแนะนำเพิ่มเติม
4.1 เพิ่มการตรวจสอบ dependency และแพ็กเกจใหม่ก่อนนำเข้าสู่โปรเจกต์ โดยเฉพาะแพ็กเกจที่มีชื่อคล้ายกับแพ็กเกจยอดนิยม
4.2 ใช้นโยบายจำกัดสิทธิ์ของ token และ secrets ให้เท่าที่จำเป็น และหลีกเลี่ยงการเก็บ credentials ในเครื่องหรือ repository โดยไม่จำเป็น
4.3 เฝ้าระวังพฤติกรรมผิดปกติในระบบพัฒนา เช่น การสร้าง public repository โดยไม่ทราบที่มา การเชื่อมต่อออกไปยังโดเมนต้องสงสัย หรือการใช้งานทรัพยากรเครือข่ายผิดปกติ
4.4 ตรวจสอบ Coding Agents หรือ IDE Configuration ที่อาจถูกแก้ไขหรือฝัง Configuration อันตราย โดยเฉพาะในเครื่องนักพัฒนาที่เคยติดตั้งแพ็กเกจต้องสงสัย
แหล่งอ้างอิง