ภัยคุกคามต่อห่วงโซ่อุปทานของซอฟต์แวร์โอเพนซอร์ส (open-source) กำลังพัฒนาไปอีกระดับ กลุ่มแฮ็กเกอร์กำลังใช้ประโยชน์จากระบบค้นหาของ GitHub หลอกล่อผู้ใช้ที่ไม่ทันระวัง โดยนำเสนอ repositories ที่แสร้งเป็นโปรเจกต์ยอดนิยมให้ดาวน์โหลด แต่แท้จริงแล้วแฝงด้วยมัลแวร์ร้ายแรง
จากรายงานของ Checkmarx https://checkmarx.com/blog/new-technique-to-trick-developers-detected-in-an-open-source-supply-chain-attack/ พบว่ามีการซ่อนโค้ดมัลแวร์ไว้ในไฟล์ project ของ Microsoft Visual Code เมื่อเหยื่อดาวน์โหลด ระบบจะไปดึงมัลแวร์ขั้นต่อไปจากเว็บไซต์ภายนอก
วิธีการโจมตี
สร้าง repositories ปลอมที่มีชื่อเหมือนโปรเจกต์ดัง โดยใช้เทคนิคการอัปเดตอัตโนมัติและการเพิ่มดาวปลอมเพื่อปั่นอันดับในการค้นหาของ GitHub
เพิ่มดาวปลอมจากบัญชีปลอม เพื่อสร้างภาพลักษณ์ความน่าเชื่อถือและหลอกให้ผู้ใช้อย่างนักพัฒนาเกิดความไว้วางใจ
ผลกระทบ
หลอกนักพัฒนาให้ดาวน์โหลด repo ปลอมได้ง่ายขึ้น ยิ่ง repo ดูเหมือนมีกิจกรรมล่าสุดและได้รับความนิยม (มีดาวเยอะ) ยิ่งทำให้ผู้ใช้ตายใจ
แจกจ่ายมัลแวร์แบบแนบเนียน มัลแวร์บางตัวถูกฝังไว้ใน repo ที่ปลอมตัวเป็นเกมดัง เครื่องมือช่วยโกงเกม หรือโปรเจกต์ที่น่าสนใจ เพื่อเพิ่มความน่าดึงดูด
ตัวอย่างมัลแวร์ที่พบ
Checkmarx ระบุว่า พบมัลแวร์หลากหลายประเภท เช่น ตัวหนึ่งจะดาวน์โหลดไฟล์ .7z ที่ถูกเข้ารหัส และมีไฟล์ปฏิบัติการชื่อ "feedbackAPI.exe" ขนาดใหญ่ถึง 750 MB (มีแนวโน้มว่าทำเพื่อหลบเลี่ยงการสแกน) และเมื่อทำงานอาจพบความเกี่ยวข้องกับมัลแวร์ประเภท Keyzetsu clipper ซึ่งเป็นมัลแวร์บน Windows ที่โด่งดังเมื่อปีก่อน สามารถเปลี่ยนเส้นทางธุรกรรมคริปโตเคอเรนซี่ให้เข้ากระเป๋าเงินของแฮ็กเกอร์ได้
วิธีป้องกัน
เพิ่มความระมัดระวังอย่างมากเมื่อดาวน์โหลดโค้ดจาก repositories โอเพ่นซอร์ซ อย่าหลงเชื่อแค่ยอดดาวหรือจำนวนการอัปเดตเท่านั้น
ตรวจสอบก่อนดาวน์โหลด ศึกษาข้อมูลเกี่ยวกับโปรเจกต์หรือ repo นั้นให้ละเอียด
หมายเหตุเพิ่มเติม:
บทความยังพูดถึงกรณีอื่นที่กลุ่มวิจัยจาก Phylum ตรวจพบผู้ใช้ GitHub รายหนึ่งพยายามสร้าง packages ขยะจำนวนมากบน npm registry เพื่อหวังผลบางอย่างจาก Tea Protocol (โปรเจกต์คริปโตที่ให้รางวัลแก่นักพัฒนารายย่อย)
ที่มา:
Comments