Shai-Hulud: มัลแวร์สายพันธุ์ใหม่โจมตี npm ครั้งใหญ่ที่สุดในประวัติศาสตร์ — เมื่อ JavaScript กลายเป็นช่องทางขโมยข้อมูลองค์กร
นักพัฒนา JavaScript ทั่วโลกกำลังเผชิญกับภัยคุกคามครั้งใหญ่ที่สุดในประวัติศาสตร์ของระบบ npm หลังจากบริษัท Koi Security และ StepSecurity เปิดเผยแคมเปญมัลแวร์ชื่อ “Shai-Hulud” ซึ่งถูกขนานนามว่าเป็นการโจมตีแบบ supply chain ที่รุนแรงที่สุดเท่าที่เคยมีมาในระบบ Node.js โดยมีแพ็กเกจที่ได้รับผลกระทบมากกว่า 500 รายการ และยังคงขยายตัวอย่างต่อเนื่อง
มัลแวร์ Shai-Hulud ถูกฝังอยู่ในแพ็กเกจยอดนิยม เช่น @ctrl/tinycolor, ngx-bootstrap, ng2-file-upload และแม้แต่แพ็กเกจจาก CrowdStrike โดยใช้เทคนิค worm ที่สามารถแพร่กระจายตัวเองไปยังแพ็กเกจอื่นโดยอัตโนมัติผ่าน npm token ที่ถูกขโมยจากเครื่องของนักพัฒนา
เมื่อผู้ใช้ติดตั้งแพ็กเกจที่ติดมัลแวร์ bundle.js จะถูกเรียกใช้ทันที ซึ่งจะสแกนระบบด้วย TruffleHog เพื่อค้นหา credentials เช่น GitHub token, AWS key, Google Cloud และ Azure แล้วส่งข้อมูลไปยัง GitHub repository ที่ถูกสร้างขึ้นโดยผู้โจมตี พร้อมฝัง GitHub Actions workflow (.github/workflows/shai-hulud-workflow.yml) เพื่อขโมยข้อมูลอย่างต่อเนื่องแม้หลังจากการติดตั้งครั้งแรก
สิ่งที่ทำให้การโจมตีนี้น่ากลัวคือความสามารถในการเปลี่ยน repository ส่วนตัวให้กลายเป็นสาธารณะโดยอัตโนมัติ และการใช้ GitHub Actions เพื่อสร้าง backdoor ที่คงอยู่ในระบบ CI/CD ขององค์กรโดยไม่ต้องอาศัยการกระทำจากผู้ใช้โดยตรง
Shai-Hulud เป็น supply chain attack ที่รุนแรงที่สุดใน npm ecosystem
ส่งผลกระทบต่อแพ็กเกจมากกว่า 500 รายการ
ใช้เทคนิค worm ที่แพร่กระจายตัวเองผ่าน npm token
มัลแวร์ถูกฝังในแพ็กเกจยอดนิยม
เช่น @ctrl/tinycolor, ngx-bootstrap, ng2-file-upload และ CrowdStrike
มีการเผยแพร่ผ่านบัญชีผู้ดูแลที่ถูกแฮกกว่า 40 บัญชี
ใช้ TruffleHog เพื่อขโมย credentials จากเครื่องนักพัฒนา
GitHub token, AWS/GCP/Azure keys, environment variables
สร้าง GitHub Actions workflow เพื่อขโมยข้อมูลอย่างต่อเนื่อง
เปลี่ยน repository ส่วนตัวให้กลายเป็นสาธารณะ
สร้าง repo ชื่อ “Shai-Hulud Migration” พร้อม dump ข้อมูล
ใช้ GitHub API เพื่อควบคุม repository โดยไม่ต้อง login
มีการวิเคราะห์โดยหลายบริษัทด้านความปลอดภัย
Wiz, JFrog, Socket, CrowdStrike และ StepSecurity
พบว่า malware targeting Linux/macOS และหลีกเลี่ยง Windows
คำเตือนเกี่ยวกับผลกระทบของ Shai-Hulud
นักพัฒนาที่ใช้ npm อาจถูกขโมยข้อมูลโดยไม่รู้ตัว
GitHub Actions ที่ถูกฝังอาจทำงานแม้หลังจากลบแพ็กเกจ
การเปลี่ยน repo เป็นสาธารณะอาจทำให้ข้อมูลภายในองค์กรรั่วไหล
การแพร่กระจายแบบ worm ทำให้การโจมตียากต่อการควบคุมและตรวจสอบ
https://www.tomshardware.com/tech-industry/cyber-security/shai-hulud-malware-campaign-dubbed-the-largest-and-most-dangerous-npm-supply-chain-compromise-in-history-hundreds-of-javascript-packages-affected
นักพัฒนา JavaScript ทั่วโลกกำลังเผชิญกับภัยคุกคามครั้งใหญ่ที่สุดในประวัติศาสตร์ของระบบ npm หลังจากบริษัท Koi Security และ StepSecurity เปิดเผยแคมเปญมัลแวร์ชื่อ “Shai-Hulud” ซึ่งถูกขนานนามว่าเป็นการโจมตีแบบ supply chain ที่รุนแรงที่สุดเท่าที่เคยมีมาในระบบ Node.js โดยมีแพ็กเกจที่ได้รับผลกระทบมากกว่า 500 รายการ และยังคงขยายตัวอย่างต่อเนื่อง
มัลแวร์ Shai-Hulud ถูกฝังอยู่ในแพ็กเกจยอดนิยม เช่น @ctrl/tinycolor, ngx-bootstrap, ng2-file-upload และแม้แต่แพ็กเกจจาก CrowdStrike โดยใช้เทคนิค worm ที่สามารถแพร่กระจายตัวเองไปยังแพ็กเกจอื่นโดยอัตโนมัติผ่าน npm token ที่ถูกขโมยจากเครื่องของนักพัฒนา
เมื่อผู้ใช้ติดตั้งแพ็กเกจที่ติดมัลแวร์ bundle.js จะถูกเรียกใช้ทันที ซึ่งจะสแกนระบบด้วย TruffleHog เพื่อค้นหา credentials เช่น GitHub token, AWS key, Google Cloud และ Azure แล้วส่งข้อมูลไปยัง GitHub repository ที่ถูกสร้างขึ้นโดยผู้โจมตี พร้อมฝัง GitHub Actions workflow (.github/workflows/shai-hulud-workflow.yml) เพื่อขโมยข้อมูลอย่างต่อเนื่องแม้หลังจากการติดตั้งครั้งแรก
สิ่งที่ทำให้การโจมตีนี้น่ากลัวคือความสามารถในการเปลี่ยน repository ส่วนตัวให้กลายเป็นสาธารณะโดยอัตโนมัติ และการใช้ GitHub Actions เพื่อสร้าง backdoor ที่คงอยู่ในระบบ CI/CD ขององค์กรโดยไม่ต้องอาศัยการกระทำจากผู้ใช้โดยตรง
Shai-Hulud เป็น supply chain attack ที่รุนแรงที่สุดใน npm ecosystem
ส่งผลกระทบต่อแพ็กเกจมากกว่า 500 รายการ
ใช้เทคนิค worm ที่แพร่กระจายตัวเองผ่าน npm token
มัลแวร์ถูกฝังในแพ็กเกจยอดนิยม
เช่น @ctrl/tinycolor, ngx-bootstrap, ng2-file-upload และ CrowdStrike
มีการเผยแพร่ผ่านบัญชีผู้ดูแลที่ถูกแฮกกว่า 40 บัญชี
ใช้ TruffleHog เพื่อขโมย credentials จากเครื่องนักพัฒนา
GitHub token, AWS/GCP/Azure keys, environment variables
สร้าง GitHub Actions workflow เพื่อขโมยข้อมูลอย่างต่อเนื่อง
เปลี่ยน repository ส่วนตัวให้กลายเป็นสาธารณะ
สร้าง repo ชื่อ “Shai-Hulud Migration” พร้อม dump ข้อมูล
ใช้ GitHub API เพื่อควบคุม repository โดยไม่ต้อง login
มีการวิเคราะห์โดยหลายบริษัทด้านความปลอดภัย
Wiz, JFrog, Socket, CrowdStrike และ StepSecurity
พบว่า malware targeting Linux/macOS และหลีกเลี่ยง Windows
คำเตือนเกี่ยวกับผลกระทบของ Shai-Hulud
นักพัฒนาที่ใช้ npm อาจถูกขโมยข้อมูลโดยไม่รู้ตัว
GitHub Actions ที่ถูกฝังอาจทำงานแม้หลังจากลบแพ็กเกจ
การเปลี่ยน repo เป็นสาธารณะอาจทำให้ข้อมูลภายในองค์กรรั่วไหล
การแพร่กระจายแบบ worm ทำให้การโจมตียากต่อการควบคุมและตรวจสอบ
https://www.tomshardware.com/tech-industry/cyber-security/shai-hulud-malware-campaign-dubbed-the-largest-and-most-dangerous-npm-supply-chain-compromise-in-history-hundreds-of-javascript-packages-affected
📰 Shai-Hulud: มัลแวร์สายพันธุ์ใหม่โจมตี npm ครั้งใหญ่ที่สุดในประวัติศาสตร์ — เมื่อ JavaScript กลายเป็นช่องทางขโมยข้อมูลองค์กร
นักพัฒนา JavaScript ทั่วโลกกำลังเผชิญกับภัยคุกคามครั้งใหญ่ที่สุดในประวัติศาสตร์ของระบบ npm หลังจากบริษัท Koi Security และ StepSecurity เปิดเผยแคมเปญมัลแวร์ชื่อ “Shai-Hulud” ซึ่งถูกขนานนามว่าเป็นการโจมตีแบบ supply chain ที่รุนแรงที่สุดเท่าที่เคยมีมาในระบบ Node.js โดยมีแพ็กเกจที่ได้รับผลกระทบมากกว่า 500 รายการ และยังคงขยายตัวอย่างต่อเนื่อง
มัลแวร์ Shai-Hulud ถูกฝังอยู่ในแพ็กเกจยอดนิยม เช่น @ctrl/tinycolor, ngx-bootstrap, ng2-file-upload และแม้แต่แพ็กเกจจาก CrowdStrike โดยใช้เทคนิค worm ที่สามารถแพร่กระจายตัวเองไปยังแพ็กเกจอื่นโดยอัตโนมัติผ่าน npm token ที่ถูกขโมยจากเครื่องของนักพัฒนา
เมื่อผู้ใช้ติดตั้งแพ็กเกจที่ติดมัลแวร์ bundle.js จะถูกเรียกใช้ทันที ซึ่งจะสแกนระบบด้วย TruffleHog เพื่อค้นหา credentials เช่น GitHub token, AWS key, Google Cloud และ Azure แล้วส่งข้อมูลไปยัง GitHub repository ที่ถูกสร้างขึ้นโดยผู้โจมตี พร้อมฝัง GitHub Actions workflow (.github/workflows/shai-hulud-workflow.yml) เพื่อขโมยข้อมูลอย่างต่อเนื่องแม้หลังจากการติดตั้งครั้งแรก
สิ่งที่ทำให้การโจมตีนี้น่ากลัวคือความสามารถในการเปลี่ยน repository ส่วนตัวให้กลายเป็นสาธารณะโดยอัตโนมัติ และการใช้ GitHub Actions เพื่อสร้าง backdoor ที่คงอยู่ในระบบ CI/CD ขององค์กรโดยไม่ต้องอาศัยการกระทำจากผู้ใช้โดยตรง
✅ Shai-Hulud เป็น supply chain attack ที่รุนแรงที่สุดใน npm ecosystem
➡️ ส่งผลกระทบต่อแพ็กเกจมากกว่า 500 รายการ
➡️ ใช้เทคนิค worm ที่แพร่กระจายตัวเองผ่าน npm token
✅ มัลแวร์ถูกฝังในแพ็กเกจยอดนิยม
➡️ เช่น @ctrl/tinycolor, ngx-bootstrap, ng2-file-upload และ CrowdStrike
➡️ มีการเผยแพร่ผ่านบัญชีผู้ดูแลที่ถูกแฮกกว่า 40 บัญชี
✅ ใช้ TruffleHog เพื่อขโมย credentials จากเครื่องนักพัฒนา
➡️ GitHub token, AWS/GCP/Azure keys, environment variables
➡️ สร้าง GitHub Actions workflow เพื่อขโมยข้อมูลอย่างต่อเนื่อง
✅ เปลี่ยน repository ส่วนตัวให้กลายเป็นสาธารณะ
➡️ สร้าง repo ชื่อ “Shai-Hulud Migration” พร้อม dump ข้อมูล
➡️ ใช้ GitHub API เพื่อควบคุม repository โดยไม่ต้อง login
✅ มีการวิเคราะห์โดยหลายบริษัทด้านความปลอดภัย
➡️ Wiz, JFrog, Socket, CrowdStrike และ StepSecurity
➡️ พบว่า malware targeting Linux/macOS และหลีกเลี่ยง Windows
‼️ คำเตือนเกี่ยวกับผลกระทบของ Shai-Hulud
⛔ นักพัฒนาที่ใช้ npm อาจถูกขโมยข้อมูลโดยไม่รู้ตัว
⛔ GitHub Actions ที่ถูกฝังอาจทำงานแม้หลังจากลบแพ็กเกจ
⛔ การเปลี่ยน repo เป็นสาธารณะอาจทำให้ข้อมูลภายในองค์กรรั่วไหล
⛔ การแพร่กระจายแบบ worm ทำให้การโจมตียากต่อการควบคุมและตรวจสอบ
https://www.tomshardware.com/tech-industry/cyber-security/shai-hulud-malware-campaign-dubbed-the-largest-and-most-dangerous-npm-supply-chain-compromise-in-history-hundreds-of-javascript-packages-affected
0 Comments
0 Shares
30 Views
0 Reviews
Thai