Back to Blog

แฮกเกอร์ใช้ Issue สาธารณะบน GitHub ขโมยข้อมูลจากคลังส่วนตัว

นักวิจัยชี้แฮกเกอร์ใช้ Issue สาธารณะบน GitHub หลอก Agentic Workflows ให้รั่วไหลข้อมูลจากคลังส่วนตัว โดยไม่ต้องใช้สิทธิ์ใด ๆ ล่วงหน้า

Sales
1 min read
แฮกเกอร์ใช้ Issue สาธารณะบน GitHub ขโมยข้อมูลจากคลังส่วนตัว

นักวิจัยจาก Noma Security เปิดเผยช่องโหว่ใหม่ที่อาจทำให้ GitHub Agentic Workflows รั่วไหลข้อมูลจากคลังส่วนตัวขององค์กรได้ เพียงแค่แฮกเกอร์เปิด Issue ธรรมดาบนคลังสาธารณะ โดยไม่ต้องใช้ข้อมูลรับรองที่ถูกขโมยหรือสิทธิ์เข้าถึงใด ๆ ล่วงหน้า

หากองค์กรนั้นกำหนดให้ Agent มีสิทธิ์อ่านข้อมูลข้ามคลังทั้งหมด คลังส่วนตัวก็จะตกอยู่ในความเสี่ยงทันที ช่องโหว่นี้เกิดจากการออกแบบการทำงานของ Agent ที่ถูกกระตุ้นโดยเหตุการณ์บน GitHub เช่น การเปิด Issue หรือ Pull Request ซึ่งอาจถูกหลอกให้ดำเนินการที่ไม่ปลอดภัย และนำไปสู่การรั่วไหลของข้อมูลสำคัญ



กลไกการโจมตีผ่าน Issue ปลอม


วิธีการโจมตีเริ่มต้นเมื่อแฮกเกอร์เปิด Issue ที่ดูเหมือนปกติบนคลังสาธารณะขององค์กรเป้าหมาย โดย Issue นี้จะถูกเขียนขึ้นเพื่อหลอกให้ Agentic Workflow ที่ทำงานอยู่เบื้องหลังดำเนินการตามคำสั่งที่ไม่เหมาะสม ตัวอย่างเช่น Agent อาจถูกสั่งให้ดึงข้อมูลจากคลังส่วนตัวและนำมาแสดงในที่สาธารณะ หรือส่งออกไปยังเซิร์ฟเวอร์ภายนอกที่แฮกเกอร์ควบคุม

การโจมตีนี้ไม่จำเป็นต้องใช้สิทธิ์ใด ๆ ก่อนหน้า เนื่องจาก Issue เป็นฟีเจอร์ที่เปิดให้ทุกคนใช้งานได้บนคลังสาธารณะ ทำให้เป็นพื้นผิวการโจมตีที่กว้างและอันตรายอย่างยิ่ง โดยเฉพาะกับองค์กรที่ใช้ GitHub Actions หรือ Workflows อัตโนมัติ



ความเสี่ยงต่อองค์กรที่ใช้ GitHub Agentic Workflows


GitHub Agentic Workflows เป็นฟีเจอร์ที่ช่วยให้องค์กรสามารถทำงานซ้ำ ๆ โดยอัตโนมัติ เช่น การทดสอบโค้ด การตรวจสอบความปลอดภัย หรือการจัดการ Issue แต่หากกำหนดสิทธิ์ให้ Agent อ่านข้อมูลข้ามคลังมากเกินไป ความเสี่ยงก็จะเพิ่มขึ้นอย่างมาก

ในกรณีนี้ หาก Agent ได้รับสิทธิ์อ่านคลังส่วนตัวทั้งหมด แฮกเกอร์ที่เปิด Issue บนคลังสาธารณะก็อาจสามารถดึงข้อมูลโค้ดลับ ข้อมูลลูกค้า หรือความลับทางการค้าออกมาได้โดยตรง โดยที่เจ้าของคลังไม่รู้ตัว



แนวทางป้องกันและบรรเทาความเสี่ยง


องค์กรที่ใช้งาน GitHub Agentic Workflows ควรจำกัดสิทธิ์การเข้าถึงของ Agent ให้แคบที่สุดเท่าที่จำเป็น เช่น กำหนดให้ Agent อ่านเฉพาะคลังที่ต้องใช้งานจริงเท่านั้น และไม่ให้สิทธิ์อ่านข้ามคลังทั้งหมดโดยไม่จำเป็น

นอกจากนี้ ควรใช้หลักการสิทธิ์น้อยที่สุดหรือ Principle of Least Privilege ร่วมกับการตรวจสอบการทำงานของ Agent อย่างสม่ำเสมอ และเพิ่มการแจ้งเตือนเมื่อมีการดำเนินการที่ผิดปกติ เช่น การดึงข้อมูลจำนวนมากจากคลังส่วนตัว การฝึกอบรมทีมพัฒนาให้รู้เท่าทันเทคนิคการโจมตีแบบนี้ก็เป็นสิ่งสำคัญเช่นกัน

การใช้เครื่องมือตรวจสอบความปลอดภัยของโค้ดและ Workflow อย่างต่อเนื่องจะช่วยลดโอกาสที่แฮกเกอร์จะใช้ช่องโหว่ดังกล่าวได้สำเร็จ



Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINE
ดูสินค้าทั้งหมด