Ruby Gems และ Go Modules ถูกวางยาพิษ โจมตี CI Pipeline ขโมยข้อมูลประจำตัว

มีการค้นพบแคมเปญโจมตีห่วงโซ่อุปทานซอฟต์แวร์ครั้งใหม่ ที่ใช้แพ็กเกจประเภท sleeper เป็นเครื่องมือในการส่งเพย์โหลดที่เป็นอันตรายในภายหลัง ซึ่งสามารถขโมยข้อมูลประจำตัว เข้าไปยุ่งเกี่ยวกับ GitHub Actions และสร้างการคงอยู่ของ SSH ได้

กิจกรรมนี้ถูกเชื่อมโยงไปยังบัญชี GitHub ที่ชื่อ BufferZoneCorp ซึ่งได้เผยแพร่ชุด Repository ที่เกี่ยวข้องกับ Ruby gems และ Go modules ที่เป็นอันตราย

การทำงานของแพ็กเกจ Sleeper

แพ็กเกจประเภท sleeper เหล่านี้ถูกออกแบบมาให้ดูเหมือนไม่มีอะไรผิดปกติในครั้งแรกที่ถูกติดตั้ง แต่จะทำงานตามที่ถูกตั้งโปรแกรมไว้เมื่อถึงเวลาที่เหมาะสม การโจมตีนี้มุ่งเน้นไปที่การแทรกซึมเข้าไปในกระบวนการ CI Pipeline ซึ่งเป็นช่องทางสำคัญที่นักพัฒนาใช้ในการสร้างและทดสอบซอฟต์แวร์

เป้าหมายหลักของการโจมตี

เป้าหมายหลักของแคมเปญนี้คือการขโมยข้อมูลประจำตัวของนักพัฒนา การเข้าถึง GitHub Actions และการสร้าง SSH persistence การโจมตีเหล่านี้ช่วยให้ผู้ไม่หวังดีสามารถคงการเข้าถึงระบบได้ในระยะยาว โดยไม่ถูกตรวจจับ

ช่องทางการเผยแพร่มัลแวร์

บัญชี BufferZoneCorp บน GitHub ได้ถูกใช้เป็นช่องทางในการเผยแพร่ Repository ที่ดูเหมือนเป็นโปรเจกต์โอเพนซอร์สปกติ แต่ภายในกลับซ่อนโค้ดอันตรายไว้ ผู้ที่ติดตั้ง Ruby gems หรือ Go modules จากแหล่งที่มาเหล่านี้อาจตกเป็นเหยื่อโดยไม่รู้ตัว

ผลกระทบต่อความปลอดภัยซอฟต์แวร์

การโจมตีห่วงโซ่อุปทานซอฟต์แวร์รูปแบบนี้แสดงให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นในระบบนิเวศของการพัฒนา นักพัฒนาควรตรวจสอบแหล่งที่มาของแพ็กเกจที่ใช้งานอย่างละเอียดและระมัดระวังในการนำโค้ดจากบุคคลที่สามมาใช้ เพื่อป้องกันการถูกขโมยข้อมูลสำคัญ

Reference

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th