365/69 (IT) ประจำวันจันทร์ที่ 6 กรกฎาคม 2569

สำนักงานสอบสวนกลางสหรัฐฯ หรือ FBI เผยแพร่ประกาศ FLASH เมื่อวันที่ 2 กรกฎาคม 2569 ระบุถึงกลุ่มอาชญากรรมไซเบอร์ชื่อ TeamPCP มีพฤติกรรมโจมตีแบบ Software Supply Chain โดยมุ่งไปยังเครื่องมือสำหรับนักพัฒนาและเครื่องมือด้านความมั่นคงปลอดภัยที่ได้รับความนิยม เพื่อขโมยข้อมูลรับรองของเหยื่อ กลุ่มดังกล่าวใช้วิธีฝังโค้ดอันตรายในแพ็กเกจซอฟต์แวร์ที่ถูกต้องตามปกติ แล้วเผยแพร่เวอร์ชันที่ถูกดัดแปลงผ่านช่องทางแจกจ่ายซอฟต์แวร์ทั่วไป ทำให้ระบบ CI/CD ขององค์กรดึงแพ็กเกจอันตรายไปใช้งานโดยอัตโนมัติ ส่งผลให้มีการติดตั้งมัลแวร์ขโมยข้อมูลรับรองและ Backdoor โดยที่ผู้ใช้งานอาจไม่สังเกตเห็นความผิดปกติ
FBI ระบุว่า TeamPCP เคยเกี่ยวข้องกับการโจมตี Supply Chain หลายครั้ง รวมถึงการโจมตีแพ็กเกจบน PyPI และ npm ตลอดจนแคมเปญ “Mini Shai-Hulud” โดยรายการเครื่องมือที่ได้รับการยืนยันว่าถูกดัดแปลง ได้แก่ Trivy เป็นเครื่องมือสแกนช่องโหว่ของ Container, KICS เครื่องมือวิเคราะห์ Infrastructure-as-Code, LiteLLM ไลบรารีสำหรับเชื่อมต่อและจัดเส้นทางคำขอไปยัง API ของโมเดล AI และ Telnyx Python SDK เครื่องมือเหล่านี้มักถูกใช้งานในกระบวนการพัฒนา ระบบคลาวด์ และกระบวนการสแกนความปลอดภัยขององค์กร ทำให้การโจมตีเพียงจุดเดียวสามารถส่งผลกระทบต่อองค์กรจำนวนมากได้ นอกจากนี้ กลุ่มดังกล่าวยังใช้มัลแวร์ เช่น CanisterWorm, SANDCLOCK, Mini Shai-Hulud และ Miasma เพื่อขโมย Cloud Access Token, SSH Key, Kubernetes Secret, API Key, Environment Variable และข้อมูลกระเป๋าเงิน Cryptocurrency
FBI เตือนว่าข้อมูลรับรองและข้อมูลที่ถูกขโมยจากแคมเปญนี้ควรถูกพิจารณาว่าเป็นความเสี่ยงระยะยาว เนื่องจากอาจถูกนำกลับมาใช้โจมตีซ้ำโดย TeamPCP หรือกลุ่มภัยคุกคามที่เกี่ยวข้องในอนาคต โดยหนึ่งในเทคนิคที่พบคือการยึดบัญชีผู้ดูแลแพ็กเกจ npm ผ่านโดเมนอีเมลกู้คืนบัญชีที่หมดอายุหรือเลิกใช้งานแล้ว เพื่อรีเซ็ตรหัสผ่านและเผยแพร่แพ็กเกจเวอร์ชันอันตราย FBI แนะนำให้องค์กรตั้งค่า GitHub Actions Workflow ให้ใช้อ้างอิง Commit SHA ที่ตรวจสอบแล้ว แทนการใช้ Version Tag ที่ไม่ได้ผูกกับ Commit เฉพาะเจาะจง พร้อมหมุนเวียน CI/CD Secret, Publishing Token และ Cloud Credential ทั้งหมดที่อาจถูกเข้าถึง บังคับใช้สิทธิ์แบบ Least Privilege เปิดใช้ MFA ที่ทนต่อ Phishing สำหรับบัญชีที่มีสิทธิ์เผยแพร่โค้ดหรือแพ็กเกจ ตรวจสอบบัญชี npm Maintainer ที่ใช้อีเมลกู้คืนเก่าหรือหมดอายุ และเฝ้าระวังพฤติกรรมผิดปกติบน CI/CD Runner รวมถึงรายงานเหตุไปยังหน่วยงานที่เกี่ยวข้องหากพบสัญญาณการบุกรุก
