Back to Blog

TeamPCP ขยายการโจมตีซัพพลายเชน หลังแฮ็ก GitHub Actions ของ Checkmarx

กลุ่มแฮ็กเกอร์ TeamPCP ขยายการโจมตีซัพพลายเชนด้วยการแฮ็ก GitHub Actions ของ Checkmarx โดยใช้ข้อมูลที่ขโมยมาได้ก่อนหน้า พร้อมแนะวิธีป้องกันและบรรเทาผลกระทบ

Sales
1 min read
TeamPCP ขยายการโจมตีซัพพลายเชน หลังแฮ็ก GitHub Actions ของ Checkmarx

ภัยคุกคามซัพพลายเชนจากกลุ่ม TeamPCP ยังคงขยายวงกว้าง หลังพบการโจมตี GitHub Actions ของบริษัท Checkmarx ซึ่งเป็นผู้เชี่ยวชาญด้านความปลอดภัยซัพพลายเชนเอง โดยใช้ข้อมูลประจำตัวที่ขโมยมาจากการโจมตี Trivy ก่อนหน้านี้

การโจมตีครั้งนี้เน้นขโมยข้อมูลลับจากระบบ CI/CD อย่างกว้างขวาง และอาจนำไปสู่การแทรกซึมแบบลูกโซ่ในระบบพัฒนาซอฟต์แวร์ของผู้ใช้


การขยายวงโจมตีจาก Trivy สู่ Checkmarx

บริษัทความปลอดภัย Sysdig รายงานว่า พบการโจมตีที่คล้ายคลึงกันใน GitHub Actions ของ Checkmarx สองรายการ คือ ast-github-action และ kics-github-action ภายในเวลาเพียง 4 วัน หลังการโจมตี Trivy ซึ่งบ่งชี้ว่าผู้โจมตีใช้ข้อมูลประจำตัวที่ขโมยมาได้จากเหตุการณ์แรก ในการปล่อยมัลแวร์ขโมยข้อมูลลงในแอ็กชันอื่น

มัลแวร์ขโมยข้อมูลนี้ถูกออกแบบมาเพื่อเก็บรวบรวมข้อมูลสำคัญต่างๆ ไม่ว่าจะเป็นคีย์ SSH ข้อมูลประจำตัวของคลาวด์อย่าง AWS Google Cloud และ Microsoft Azure รวมถึงการตั้งค่า CI/CD และข้อมูลจากวอลเล็ตคริปโตเคอร์เรนซี


เทคนิคการหลบเลี่ยงและการขโมยข้อมูล

ผู้โจมตีใช้เทคนิคการปล่อยแท็กที่เป็นอันตรายลงในรีพอสิทอรี และใช้โดเมนปลอมที่คล้ายกับชื่อผู้ขาย เช่น checkmarx[.]zone เพื่อลดโอกาสการตรวจจับโดยมนุษย์

ข้อมูลที่ขโมยได้จะถูกส่งออกในรูปแบบไฟล์บีบอัดที่เข้ารหัสชื่อ tpcp.tar.gz นอกจากนี้ มัลแวร์ยังสร้างรีพอสิทอรีสำรองชื่อ docs-tpcp ขึ้นในบัญชีผู้ใช้ GitHub ของเหยื่อ เพื่อใช้เป็นช่องทางส่งข้อมูลออกหากการส่งไปยังเซิร์ฟเวอร์หลักล้มเหลว


แผนภาพแสดงการโจมตีซัพพลายเชนแบบลูกโซ่

การโจมตีส่วนขยาย VS Code และกลไกความคงทน

การโจมตีไม่ได้จำกัดอยู่แค่ GitHub Actions เนื่องจากผู้โจมตียังเผยแพร่ส่วนขยาย VS Code ของ Checkmarx รุ่นที่ถูกดัดแปลงใน Open VSX Marketplace อีกด้วย

ส่วนขยายที่เป็นอันตรายจะตรวจสอบว่าผู้ใช้มีข้อมูลประจำตัวของผู้ให้บริการคลาวด์หรือไม่ จากนั้นจึงดาวน์โหลดและรันเพย์โหลดขั้นต่อไป ซึ่งประกอบด้วยมัลแวร์ขโมยข้อมูลที่ครอบคลุมมากขึ้น

บนระบบที่ไม่ใช่ CI มัลแวร์จะติดตั้งบริการ systemd เพื่อคงความอยู่รอด และตรวจสอบเซิร์ฟเวอร์เป็นระยะทุก 50 นาที เพื่อรับคำสั่งหรือเพย์โหลดเพิ่มเติม


คำแนะนำในการบรรเทาและป้องกัน

ผู้ใช้ที่อาจได้รับผลกระทบควรดำเนินการตามขั้นตอนต่อไปนี้ทันที

  • หมุนเวียนข้อมูลลับ โทเค็น และข้อมูลประจำตัวคลาวด์ทั้งหมดที่ CI runner เข้าถึงได้
  • ตรวจสอบบันทึกการทำงานของ GitHub Actions เพื่อหา tpcp.tar.gz หรือโดเมนที่น่าสงสัย
  • ค้นหาในองค์กรสำหรับรีพอสิทอรีชื่อ tpcp-docs หรือ docs-tpcp
  • ปักหมุด GitHub Actions ด้วย commit SHA แทนการใช้แท็กเวอร์ชัน
  • จำกัดการเข้าถึง Instance Metadata Service จากคอนเทนเนอร์ของ CI runner

Reference

The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด