286/69 (IT) ประจำวันพุธที่ 27 พฤษภาคม 2569
นักวิจัยด้านความมั่นคงปลอดภัยทางไซเบอร์รายงานการค้นพบแคมเปญการโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) ในชื่อ Megalodon ซึ่งส่งผลกระทบต่อคลังข้อมูล (Repository) บนแพลตฟอร์ม GitHub มากกว่า 5,500 แห่ง การโจมตีครั้งนี้มุ่งเป้าไปที่การขโมยข้อมูลรับรองตัวตน (Credentials) รหัสผ่าน และคีย์สำคัญต่าง ๆ ที่ใช้ในการพัฒนาระบบ เหตุการณ์นี้มีความสำคัญอย่างยิ่งเนื่องจากผู้ไม่ประสงค์ดีได้ใช้ระบบอัตโนมัติในการฝังโค้ดอันตรายลงในกระบวนการทำงาน ซึ่งอาจส่งผลกระทบเป็นวงกว้างต่อความปลอดภัยของแอปพลิเคชัน และข้อมูลขององค์กรที่นำซอร์สโค้ดจากคลังข้อมูลที่ถูกถูกแทรกแซงเหล่านี้ไปใช้งาน
จากการตรวจสอบพบว่าเมื่อวันที่ 18 พฤษภาคมที่ผ่านมา มีการส่งคำสั่งแก้ไขโค้ด (Commit) ที่เป็นอันตรายกว่า 5,700 รายการ เข้าสู่ระบบภายในช่วงเวลาเพียง 6 ชั่วโมงผ่านบัญชีอัตโนมัติ ผู้โจมตีได้ฝังโค้ดอันตรายลงในกระบวนการของ GitHub Actions สองรูปแบบ ได้แก่ การสั่งให้โค้ดทำงานทุกครั้งที่มีการนำเข้าข้อมูลใหม่ และการเข้าไปแทนที่กระบวนการเดิมเพื่อสร้างช่องโหว่ซ่อนเร้น (Dormant Backdoor) ที่สามารถหลบเลี่ยงการตรวจจับและถูกเรียกใช้ได้ในภายหลัง เมื่อเครื่องเป้าหมายติดมัลแวร์ ข้อมูลสำคัญระดับองค์กร เช่น ข้อมูลการเข้าถึงคลาวด์ คีย์ API การตั้งค่าคอนเทนเนอร์ และโทเค็นต่าง ๆ จะถูกดึงออกไปสู่ภายนอก ทั้งนี้การโจมตีดังกล่าวถูกค้นพบหลังจากแพ็กเกจโอเพนซอร์สชื่อ Tiledesk ได้รับผลกระทบ โดยนักพัฒนาได้เผยแพร่ซอร์สโค้ดที่ถูกแทรกแซงโดยไม่รู้ตัวเนื่องจากคลังข้อมูลต้นทางบน GitHub ถูกเจาะระบบเสียก่อน
เพื่อเป็นการรับมือและลดความเสี่ยง ผู้ดูแลระบบและนักพัฒนาซอฟต์แวร์ควรตรวจสอบประวัติการแก้ไขโค้ดในคลังข้อมูลของตนเองอย่างละเอียด โดยเฉพาะการเปลี่ยนแปลงที่ผิดปกติในส่วนของ GitHub Actions นอกจากนี้องค์กรควรดำเนินการเพิกถอนและสร้างใหม่ (Rotate) สำหรับรหัสผ่าน คีย์ API โทเค็น และข้อมูลรับรองตัวตนทั้งหมดที่อาจเกี่ยวข้อง หรืออยู่ในสภาพแวดล้อมที่ได้รับผลกระทบ แม้ว่าผู้ให้บริการระบบการจัดการแพ็กเกจบางส่วน จะเริ่มใช้มาตรการระงับโทเค็นที่มีความเสี่ยงแล้ว แต่การตรวจสอบความถูกต้องของโค้ดก่อนนำมาใช้งาน และการเฝ้าระวังความปลอดภัยของกระบวนการพัฒนาซอฟต์แวร์ ยังคงเป็นแนวทางการปฏิบัติที่จำเป็นเพื่อป้องกันภัยคุกคามในลักษณะนี้ต่อไปในอนาคต