top of page

ระวังภัย! แฮ็กเกอร์ใช้ GitHub เป็นช่องทางระบาดมัลแวร์



ภัยคุกคามต่อห่วงโซ่อุปทานของซอฟต์แวร์โอเพนซอร์ส (open-source) กำลังพัฒนาไปอีกระดับ กลุ่มแฮ็กเกอร์กำลังใช้ประโยชน์จากระบบค้นหาของ GitHub หลอกล่อผู้ใช้ที่ไม่ทันระวัง โดยนำเสนอ repositories ที่แสร้งเป็นโปรเจกต์ยอดนิยมให้ดาวน์โหลด แต่แท้จริงแล้วแฝงด้วยมัลแวร์ร้ายแรง



จากรายงานของ Checkmarx https://checkmarx.com/blog/new-technique-to-trick-developers-detected-in-an-open-source-supply-chain-attack/ พบว่ามีการซ่อนโค้ดมัลแวร์ไว้ในไฟล์ project ของ Microsoft Visual Code เมื่อเหยื่อดาวน์โหลด ระบบจะไปดึงมัลแวร์ขั้นต่อไปจากเว็บไซต์ภายนอก



วิธีการโจมตี

  • สร้าง repositories ปลอมที่มีชื่อเหมือนโปรเจกต์ดัง โดยใช้เทคนิคการอัปเดตอัตโนมัติและการเพิ่มดาวปลอมเพื่อปั่นอันดับในการค้นหาของ GitHub

  • เพิ่มดาวปลอมจากบัญชีปลอม เพื่อสร้างภาพลักษณ์ความน่าเชื่อถือและหลอกให้ผู้ใช้อย่างนักพัฒนาเกิดความไว้วางใจ

ผลกระทบ

  • หลอกนักพัฒนาให้ดาวน์โหลด repo ปลอมได้ง่ายขึ้น ยิ่ง repo ดูเหมือนมีกิจกรรมล่าสุดและได้รับความนิยม (มีดาวเยอะ) ยิ่งทำให้ผู้ใช้ตายใจ

  • แจกจ่ายมัลแวร์แบบแนบเนียน มัลแวร์บางตัวถูกฝังไว้ใน repo ที่ปลอมตัวเป็นเกมดัง เครื่องมือช่วยโกงเกม หรือโปรเจกต์ที่น่าสนใจ เพื่อเพิ่มความน่าดึงดูด

ตัวอย่างมัลแวร์ที่พบ

Checkmarx ระบุว่า พบมัลแวร์หลากหลายประเภท เช่น ตัวหนึ่งจะดาวน์โหลดไฟล์ .7z ที่ถูกเข้ารหัส และมีไฟล์ปฏิบัติการชื่อ "feedbackAPI.exe" ขนาดใหญ่ถึง 750 MB (มีแนวโน้มว่าทำเพื่อหลบเลี่ยงการสแกน) และเมื่อทำงานอาจพบความเกี่ยวข้องกับมัลแวร์ประเภท Keyzetsu clipper ซึ่งเป็นมัลแวร์บน Windows ที่โด่งดังเมื่อปีก่อน สามารถเปลี่ยนเส้นทางธุรกรรมคริปโตเคอเรนซี่ให้เข้ากระเป๋าเงินของแฮ็กเกอร์ได้


วิธีป้องกัน

  • เพิ่มความระมัดระวังอย่างมากเมื่อดาวน์โหลดโค้ดจาก repositories โอเพ่นซอร์ซ อย่าหลงเชื่อแค่ยอดดาวหรือจำนวนการอัปเดตเท่านั้น

  • ตรวจสอบก่อนดาวน์โหลด ศึกษาข้อมูลเกี่ยวกับโปรเจกต์หรือ repo นั้นให้ละเอียด


หมายเหตุเพิ่มเติม:

บทความยังพูดถึงกรณีอื่นที่กลุ่มวิจัยจาก Phylum ตรวจพบผู้ใช้ GitHub รายหนึ่งพยายามสร้าง  packages ขยะจำนวนมากบน npm registry เพื่อหวังผลบางอย่างจาก Tea Protocol (โปรเจกต์คริปโตที่ให้รางวัลแก่นักพัฒนารายย่อย)


ที่มา:



ดู 35 ครั้ง

ความคิดเห็น


bottom of page