แคมเปญ Miasma โจมตีซัพพลายเชน Red Hat ขโมยเครดิตผ่าน Worm

แคมเปญโจมตีซัพพลายเชนครั้งใหม่ซึ่งใช้ชื่อรหัสว่า Miasma ได้พุ่งเป้ามาที่แพ็กเกจ @redhat-cloud-services บน npm เพื่อขโมยข้อมูลประจำตัวและความลับจากเครื่องนักพัฒนา พร้อมกับกระจายเวิร์มที่สามารถแพร่กระจายตัวเองได้โดยอัตโนมัติ

การโจมตีนี้ถูกจัดอยู่ในกลุ่มเดียวกับแคมเปญ Mini Shai-Hulud ที่เคยสร้างความเสียหายมาก่อน โดยใช้กลวิธีหลักเหมือนกันคือ การทำงานขณะติดตั้ง การเก็บเกี่ยวข้อมูลรับรอง การกำหนดเป้าหมายไปที่ CI หรือ CD การส่งออกข้อมูลแบบเข้ารหัส และการแพร่กระจายตัวเอง

รายละเอียดของแคมเปญ Miasma

แคมเปญ Miasma ถูกค้นพบโดยทีมวิจัยด้านความปลอดภัย ซึ่งพบว่าแพ็กเกจที่ถูกบุกรุกมีการฝังโค้ดที่เป็นอันตรายไว้ในขั้นตอนการติดตั้ง เมื่อนักพัฒนาดาวน์โหลดและติดตั้งแพ็กเกจเหล่านี้ โค้ดดังกล่าวจะทำงานทันทีเพื่อขโมยข้อมูลประจำตัวที่เก็บไว้ในเครื่อง ไม่ว่าจะเป็นโทเค็นการเข้าถึง คีย์ SSH หรือข้อมูลรับรองอื่น ๆ ที่ใช้ในการเชื่อมต่อกับระบบต่าง ๆ

กลไกการทำงานของเวิร์มขโมยข้อมูล

เวิร์มที่แฝงมากับแพ็กเกจนี้มีความสามารถในการแพร่กระจายตัวเอง โดยเมื่อมันเข้าถึงข้อมูลประจำตัวของนักพัฒนาแล้ว มันจะใช้ข้อมูลนั้นในการบุกรุกเข้าไปยังระบบ CI หรือ CD เพื่อแก้ไขโค้ดต้นฉบับหรือเพิ่มแพ็กเกจที่เป็นอันตรายเข้าไปในโปรเจกต์อื่น ๆ ซึ่งจะทำให้การโจมตีลุกลามเป็นวงกว้างมากขึ้นโดยที่เหยื่อไม่รู้ตัว

ผลกระทบต่อระบบนิเวศนักพัฒนา

การโจมตีครั้งนี้ส่งผลกระทบอย่างรุนแรงต่อระบบนิเวศของนักพัฒนาที่ใช้งาน Red Hat และ npm โดยเฉพาะองค์กรที่ใช้แพ็กเกจเหล่านี้ในการพัฒนาแอปพลิเคชัน เนื่องจากข้อมูลที่ถูกขโมยไปอาจนำไปสู่การโจมตีเพิ่มเติม เช่น การแทรกซึมเข้าไปในระบบผลิต หรือการขโมยทรัพย์สินทางปัญญาขององค์กร

แนวทางการป้องกันและตรวจสอบ

ทีมวิจัยแนะนำให้นักพัฒนาตรวจสอบความสมบูรณ์ของแพ็กเกจที่ติดตั้งอยู่เสมอ รวมถึงใช้เครื่องมือวิเคราะห์โค้ดเพื่อตรวจจับพฤติกรรมที่น่าสงสัยในขั้นตอนก่อนการติดตั้ง นอกจากนี้ การจำกัดสิทธิ์การเข้าถึงของระบบ CI หรือ CD และการใช้ระบบตรวจสอบการเปลี่ยนแปลงโค้ดแบบเรียลไทม์ก็เป็นมาตรการสำคัญที่ช่วยลดความเสี่ยงจากการโจมตีในลักษณะนี้

Reference

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th