ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ตรวจพบการโจมตีทางไซเบอร์ต่อผู้ให้บริการแพลตฟอร์มคลาวด์และผู้สร้าง Next.js โดยผู้โจมตีใช้มัลแวร์ประเภท Infostealer ขโมยข้อมูลประจำตัวของพนักงาน นำไปสู่การเจาะระบบภายในและเข้าถึงข้อมูลสภาพแวดล้อม ซึ่งส่งผลกระทบต่อความปลอดภัยของซอร์สโค้ดและบัญชีผู้ใช้งานบางส่วน [1]
1. รายละเอียดลักษณะการทำงานของมัลแวร์ [2]
1.1 ขโมยข้อมูลผ่าน Infostealer มัลแวร์ “Lumma Stealer” แอบดึงข้อมูลประจำตัว (Credentials) และ Session Cookies จากเครื่องคอมพิวเตอร์ของพนักงานที่ใช้งานเครื่องมือ AI ของบุคคลที่สาม
1.2 ยึดสิทธิ์บัญชีองค์กร ผู้โจมตีนำข้อมูลที่ได้ไปเข้ายึดบัญชี Google Workspace ของพนักงาน เพื่อใช้เป็นฐานเจาะเข้าระบบอื่นภายในองค์กร
1.3 เจาะระบบและดึงข้อมูล อาศัยสิทธิ์บัญชีที่ยึดมาได้ เข้าถึงระบบภายในและรวบรวมตัวแปรสภาพแวดล้อมที่ตั้งค่าไว้ว่า “ไม่ละเอียดอ่อน” รวมถึงพยายามเข้าถึงฐานข้อมูลและซอร์สโค้ด
2. กลุ่มเป้าหมายและระบบที่ได้รับผลกระทบ
2.1 อุปกรณ์พนักงานที่ติดตั้งซอฟต์แวร์หรือเครื่องมือบุคคลที่สามที่ขาดมาตรการรักษาความปลอดภัย
2.2 บัญชีลูกค้าผู้ใช้งานแพลตฟอร์มบางส่วน โดยผู้ที่ได้รับผลกระทบจะได้รับการติดต่อให้รีเซ็ตรหัสผ่านโดยตรง
2.3 ระบบแอปพลิเคชันที่ตั้งค่าแบบไม่เข้ารหัส หรือไม่ได้ระบุว่าเป็นข้อมูลละเอียดอ่อน
3. รูปแบบการแพร่กระจายและการโจมตี
เป็นการโจมตีแบบห่วงโซ่อุปทาน (Supply Chain Attack) โดยพุ่งเป้าไปที่จุดอ่อนของซอฟต์แวร์บุคคลที่สาม (Context.ai) ผู้โจมตีใช้มัลแวร์ Lumma Stealer ซึ่งมักแฝงมากับซอฟต์แวร์เถื่อนหรือไฟล์หลอกดาวน์โหลดออนไลน์ เพื่อขโมยสิทธิ์การเข้าถึงจากเครื่องพนักงาน
4. แนวทางการป้องกัน
4.1 จำกัดสิทธิ์ ตรวจสอบและจำกัดสิทธิ์ของแอปพลิเคชันบุคคลที่สามที่เชื่อมต่อกับบัญชีองค์กรอย่างเคร่งครัด
4.2 บังคับใช้ MFA ใช้การยืนยันตัวตนหลายปัจจัย โดยเน้น Hardware Security Key เพื่อป้องกันการถูกขโมย Session Cookies
4.3 เข้ารหัสข้อมูลสำคัญ จัดเก็บความลับ เช่น API Keys หรือรหัสผ่าน ไว้ในรูปแบบ “Sensitive/Secret Environment Variables” เพื่อให้ระบบเข้ารหัสข้อมูลขั้นสูง
4.4 รักษาความปลอดภัยอุปกรณ์ (Endpoint) ติดตั้งและอัปเดตระบบป้องกัน (EDR/Antivirus) บนเครื่องพนักงาน และหลีกเลี่ยงการใช้งานซอฟต์แวร์เถื่อน
แหล่งอ้างอิง