348/68 (IT) ประจำวันพฤหัสบดีที่ 18 กันยายน 2568
นักวิจัยด้านความปลอดภัยไซเบอร์จาก ReversingLabs เปิดเผยถึงมัลแวร์ชนิดใหม่ที่ชื่อ “Shai-hulud” กำลังแพร่ระบาดอย่างรุนแรงในซอฟต์แวร์ Open Source โดยเฉพาะในแพ็กเกจ NPM โดยอาศัยกลไกการจำลองตัวเอง ทำให้สามารถแพร่กระจายไปทั่วโปรเจกต์นับร้อยได้อย่างรวดเร็วเพื่อขโมยข้อมูลสำคัญต่าง ๆ เช่น ข้อมูลลับ (secrets) โทเค็น และข้อมูลล็อกอินบัญชี (credentials) ต่าง ๆ โดยแทบไม่ต้องมีการควบคุมจากผู้โจมตีโดยตรง การค้นพบนี้เกิดขึ้นเมื่อวันที่ 15 กันยายนที่ผ่านมา โดยบริษัท ReversingLabs ซึ่งตั้งชื่อเวิร์มตัวนี้ตามสัตว์ประหลาด “Shai-hulud” หรือหนอนทรายในภาพยนตร์เรื่อง Dune เนื่องจากพฤติกรรมการแพร่กระจายที่คล้ายคลึงกัน
กลไกการทำงานของเวิร์ม Shai-hulud นั้นเริ่มต้นจากแพ็กเกจ NPM ที่ติดเชื้อ เมื่อนักพัฒนาซอฟต์แวร์ดาวน์โหลดและนำไปใช้งาน เวิร์มจะถูกเรียกทำงานทันทีเพื่อขโมยข้อมูลสำคัญในสภาพแวดล้อมของผู้ใช้งาน จากนั้นจะใช้ข้อมูลที่ได้เพื่อเข้าถึงบัญชี NPM ของนักพัฒนาและแพร่เชื้อตัวเองเข้าไปในโปรเจกต์อื่น ๆ ที่นักพัฒนาคนนั้นดูแลอยู่ ทำให้เกิดวงจรการแพร่กระจายที่ไม่สิ้นสุด นอกจากนี้ เวิร์มยังติดตั้งเครื่องมือ Trufflehog เพื่อค้นหาข้อมูลลับที่ซ่อนอยู่ในแพ็กเกจ และพยายามทำสำเนาของ Repository ส่วนตัว (private repository) ให้เป็นสาธารณะ เพื่อขโมยโค้ดต้นฉบับและค้นหาช่องโหว่เพิ่มเติมด้วย
ReversingLabs ระบุว่า “Patient Zero” หรือแพ็กเกจต้นทางที่น่าจะติดเชื้อตัวแรกคือ “rxnt-authentication” และคาดว่าอาจเกิดจากการโจมตีแบบ Social Engineering คล้ายกับกรณีของนักพัฒนา Qix ที่เคยถูกแฮ็กบัญชี NPM มาก่อน ซึ่งส่งผลกระทบต่อแอปพลิเคชันยอดนิยมถึง 18 ตัว และมีจำนวนการดาวน์โหลดมากกว่า 2,000 ล้านครั้งต่อสัปดาห์ในเดือนก่อนหน้า แม้ว่าการโจมตีครั้งนั้นจะถูกยับยั้งได้อย่างรวดเร็ว แต่สำหรับ Shai-hulud นั้นมีความอันตรายมากกว่า เพราะเป้าหมายหลักคือการขโมยข้อมูลลับให้ได้มากที่สุด และยังไม่ชัดเจนว่าผู้โจมตีจะนำข้อมูลเหล่านั้นไปใช้ประโยชน์อย่างไรต่อ จึงเป็นเรื่องที่ผู้ที่เกี่ยวข้องกับ Open Source และนักพัฒนาควรเฝ้าระวังและตรวจสอบบัญชี NPM ของตนเองอย่างเร่งด่วน โดยเฉพาะผู้ที่ดาวน์โหลดแพ็กเกจที่อาจเข้าข่ายต้องสงสัย
แหล่งข่าว https://www.darkreading.com/application-security/self-replicating-shai-hulud-worm-npm-packages
