349/69 (IT) ประจำวันจันทร์ที่ 29 มิถุนายน 2569
Microsoft ตรวจพบแคมเปญมัลแวร์ในชื่อ Miasma ซึ่งเป็นเวิร์มในห่วงโซ่อุปทาน (Supply Chain Worm) ที่สามารถแพร่กระจายได้ด้วยตัวเอง ล่าสุดพบการฝังโค้ดอันตรายในแพ็กเกจ npm ที่ใช้งานในระบบนิเวศของ Leo Platform และ RStreams รวมกว่า 20 เวอร์ชัน ข้อมูลจากทีม Microsoft Threat Intelligence ระบุว่า การโจมตีดังกล่าวเริ่มต้นขึ้นเมื่อช่วงค่ำของวันที่ 24 มิถุนายนที่ผ่านมา โดยผู้ไม่หวังดีได้เข้าควบคุมบัญชีผู้ดูแลแพ็กเกจ npm ที่ชื่อ czirker และใช้บัญชีดังกล่าวในกระบวนการทำงานอัตโนมัติเพื่ออัปเดตแพ็กเกจที่เป็นอันตรายทั้งหมดภายในระยะเวลาไม่ถึง 3 วินาที ส่งผลกระทบโดยตรงต่อสภาพแวดล้อมการทำงานของนักพัฒนาซอฟต์แวร์และระบบตรวจรับและทดสอบซอฟต์แวร์อัตโนมัติ (CI Runners)
พฤติกรรมการทำงานของมัลแวร์ Miasma เวอร์ชันล่าสุดนี้ จะมุ่งเป้าไปที่การค้นหาและรวบรวมข้อมูลสิทธิ์การเข้าถึงระบบคลาวด์ เช่น AWS, Azure และ Google Cloud รวมถึงรหัสผ่านส่วนบุคคลของ GitHub (GitHub Personal Access Tokens) รหัสลับในระบบ Kubernetes ข้อมูลจาก HashiCorp Vault และ 1Password ตลอดจนสิทธิ์ในการเผยแพร่แพ็กเกจ npm นอกจากนี้ มัลแวร์ยังสามารถดึงข้อมูลจากหน่วยความจำของ GitHub Actions runner แล้วส่งข้อมูลที่ขโมยได้กลับไปยังคลังข้อมูล (Repository) บน GitHub ที่สร้างขึ้นใหม่ผ่านบัญชีของเหยื่อ แทนที่จะส่งไปยังเซิร์ฟเวอร์ควบคุม แบบดั้งเดิม ทั้งนี้ บริษัทด้านความปลอดภัยอย่าง Sonatype ระบุว่า มัลแวร์ตัวนี้มีการพัฒนาทางเทคนิค โดยเปลี่ยนจากการพึ่งพา npm installation hooks แบบเดิม ไปเป็นการซ่อนโค้ดอันตรายไว้ในส่วนอื่นของกระบวนการติดตั้ง และเปลี่ยนมาดาวน์โหลดพร้อมรันระบบ Bun JavaScript runtime แทน Node.js เพื่อหลีกเลี่ยงการตรวจจับของซอฟต์แวร์ความปลอดภัย และพยายามนำแพ็กเกจที่เหยื่อมีสิทธิ์ดูแลไปเผยแพร่ซ้ำเพื่อข้ามผ่านระบบยืนยันตัวตนแบบสองปัจจัย (2FA) ของ npm ในการขยายวงการแพร่กระจายต่อไป
สำหรับแนวทางป้องกันและลดความเสี่ยง ทางไมโครซอฟท์ได้แจ้งเตือนให้องค์กรที่มีการติดตั้งแพ็กเกจเวอร์ชันที่ได้รับผลกระทบ สันนิษฐานเบื้องต้นไว้ก่อนว่าเครื่องคอมพิวเตอร์ของนักพัฒนาและสภาพแวดล้อมระบบ CI อาจถูกเข้าถึงโดยไม่ได้รับอนุญาต ขณะที่ Sonatype แนะนำให้ผู้ดูแลระบบและนักพัฒนาตรวจสอบไฟล์บันทึกการพึ่งพาซอฟต์แวร์ (Dependency Lockfiles) ระบบสำเนาแพ็กเกจภายในองค์กร (Internal Package Mirrors) แคชของระบบบิลด์ (Build Caches) อิมเมจของคอนเทนเนอร์ (Container Images) ตลอดจนระบบ CI Runners เพื่อค้นหาและลบไฟล์ที่เป็นอันตรายที่อาจตกค้างอยู่ให้หมดสิ้น ก่อนที่จะดำเนินการเปลี่ยนรหัสผ่านและสิทธิ์การเข้าถึงใหม่ทั้งหมด เนื่องจากหากเปลี่ยนรหัสผ่านก่อนที่จะเคลียร์มัลแวร์ออกจากระบบ ผู้ไม่หวังดีก็อาจจะสามารถขโมยรหัสผ่านชุดใหม่ไปได้อีกครั้ง