“GitLab พบการโจมตีซัพพลายเชน npm ครั้งใหญ่ พร้อมมัลแวร์ทำลายข้อมูล”
ทีมวิจัยด้านความปลอดภัยของ GitLab ได้ค้นพบการโจมตีซัพพลายเชนที่แพร่กระจายผ่านแพ็กเกจ npm โดยมัลแวร์ที่ถูกใช้คือเวอร์ชันใหม่ของ Shai-Hulud ซึ่งมีความสามารถในการแพร่กระจายไปยังแพ็กเกจอื่น ๆ โดยอัตโนมัติ ทำให้การติดเชื้อขยายตัวอย่างรวดเร็วในระบบนิเวศของนักพัฒนา
มัลแวร์นี้เริ่มต้นด้วยการแทรกสคริปต์ setup_bun.js ลงในไฟล์ package.json โดยอ้างว่าเป็นการติดตั้ง Bun runtime แต่แท้จริงแล้วเป็นตัวโหลดที่เรียกใช้ไฟล์ bun_environment.js ซึ่งถูกเข้ารหัสและมีขนาดใหญ่เพื่อหลบเลี่ยงการตรวจสอบทั่วไป
เมื่อทำงาน มัลแวร์จะ เก็บข้อมูล credential จากหลายแหล่ง เช่น GitHub, npm, AWS, GCP และ Azure รวมถึงใช้เครื่องมือ Trufflehog เพื่อค้นหาคีย์และรหัสผ่านที่ซ่อนอยู่ในระบบไฟล์ จากนั้นจะส่งข้อมูลไปยัง repository ที่ผู้โจมตีควบคุม โดยใช้คำอธิบายพิเศษ “Sha1-Hulud: The Second Coming” เพื่อระบุว่าเป็นส่วนหนึ่งของเครือข่ายที่ติดเชื้อ
สิ่งที่น่ากังวลที่สุดคือ dead man’s switch ที่ถูกฝังไว้ หากระบบที่ติดเชื้อสูญเสียการเข้าถึงทั้ง GitHub และ npm พร้อมกัน มัลแวร์จะทำลายข้อมูลทันที โดยใน Windows จะลบไฟล์และเขียนทับดิสก์ ส่วนใน Unix จะใช้คำสั่ง shred เพื่อลบไฟล์อย่างถาวร ทำให้การกู้คืนแทบเป็นไปไม่ได้
สรุปสาระสำคัญ
ลักษณะการโจมตี
ใช้มัลแวร์ Shai-Hulud v2 แพร่กระจายผ่าน npm
มีพฤติกรรม worm-like ติดเชื้อแพ็กเกจอื่นโดยอัตโนมัติ
วิธีการทำงาน
แทรกสคริปต์ setup_bun.js ใน package.json
เรียกใช้ payload bun_environment.js ที่ถูกเข้ารหัส
การเก็บข้อมูล
ดึง credential จาก GitHub, npm, AWS, GCP, Azure
ใช้ Trufflehog สแกนระบบไฟล์หาคีย์และรหัสผ่าน
ความเสี่ยงร้ายแรง
มี dead man’s switch ที่ทำลายข้อมูลหากถูกตัดการเชื่อมต่อ
อาจทำให้ผู้ใช้จำนวนมากสูญเสียข้อมูลพร้อมกัน
ผลกระทบต่อระบบนิเวศ
การแพร่กระจายอัตโนมัติทำให้หลายแพ็กเกจอาจถูกติดเชื้อ
สร้างเครือข่าย botnet-like ที่แชร์ token ระหว่างระบบที่ติดเชื้อ
https://about.gitlab.com/blog/gitlab-discovers-widespread-npm-supply-chain-attack/
ทีมวิจัยด้านความปลอดภัยของ GitLab ได้ค้นพบการโจมตีซัพพลายเชนที่แพร่กระจายผ่านแพ็กเกจ npm โดยมัลแวร์ที่ถูกใช้คือเวอร์ชันใหม่ของ Shai-Hulud ซึ่งมีความสามารถในการแพร่กระจายไปยังแพ็กเกจอื่น ๆ โดยอัตโนมัติ ทำให้การติดเชื้อขยายตัวอย่างรวดเร็วในระบบนิเวศของนักพัฒนา
มัลแวร์นี้เริ่มต้นด้วยการแทรกสคริปต์ setup_bun.js ลงในไฟล์ package.json โดยอ้างว่าเป็นการติดตั้ง Bun runtime แต่แท้จริงแล้วเป็นตัวโหลดที่เรียกใช้ไฟล์ bun_environment.js ซึ่งถูกเข้ารหัสและมีขนาดใหญ่เพื่อหลบเลี่ยงการตรวจสอบทั่วไป
เมื่อทำงาน มัลแวร์จะ เก็บข้อมูล credential จากหลายแหล่ง เช่น GitHub, npm, AWS, GCP และ Azure รวมถึงใช้เครื่องมือ Trufflehog เพื่อค้นหาคีย์และรหัสผ่านที่ซ่อนอยู่ในระบบไฟล์ จากนั้นจะส่งข้อมูลไปยัง repository ที่ผู้โจมตีควบคุม โดยใช้คำอธิบายพิเศษ “Sha1-Hulud: The Second Coming” เพื่อระบุว่าเป็นส่วนหนึ่งของเครือข่ายที่ติดเชื้อ
สิ่งที่น่ากังวลที่สุดคือ dead man’s switch ที่ถูกฝังไว้ หากระบบที่ติดเชื้อสูญเสียการเข้าถึงทั้ง GitHub และ npm พร้อมกัน มัลแวร์จะทำลายข้อมูลทันที โดยใน Windows จะลบไฟล์และเขียนทับดิสก์ ส่วนใน Unix จะใช้คำสั่ง shred เพื่อลบไฟล์อย่างถาวร ทำให้การกู้คืนแทบเป็นไปไม่ได้
สรุปสาระสำคัญ
ลักษณะการโจมตี
ใช้มัลแวร์ Shai-Hulud v2 แพร่กระจายผ่าน npm
มีพฤติกรรม worm-like ติดเชื้อแพ็กเกจอื่นโดยอัตโนมัติ
วิธีการทำงาน
แทรกสคริปต์ setup_bun.js ใน package.json
เรียกใช้ payload bun_environment.js ที่ถูกเข้ารหัส
การเก็บข้อมูล
ดึง credential จาก GitHub, npm, AWS, GCP, Azure
ใช้ Trufflehog สแกนระบบไฟล์หาคีย์และรหัสผ่าน
ความเสี่ยงร้ายแรง
มี dead man’s switch ที่ทำลายข้อมูลหากถูกตัดการเชื่อมต่อ
อาจทำให้ผู้ใช้จำนวนมากสูญเสียข้อมูลพร้อมกัน
ผลกระทบต่อระบบนิเวศ
การแพร่กระจายอัตโนมัติทำให้หลายแพ็กเกจอาจถูกติดเชื้อ
สร้างเครือข่าย botnet-like ที่แชร์ token ระหว่างระบบที่ติดเชื้อ
https://about.gitlab.com/blog/gitlab-discovers-widespread-npm-supply-chain-attack/
🛡️ “GitLab พบการโจมตีซัพพลายเชน npm ครั้งใหญ่ พร้อมมัลแวร์ทำลายข้อมูล”
ทีมวิจัยด้านความปลอดภัยของ GitLab ได้ค้นพบการโจมตีซัพพลายเชนที่แพร่กระจายผ่านแพ็กเกจ npm โดยมัลแวร์ที่ถูกใช้คือเวอร์ชันใหม่ของ Shai-Hulud ซึ่งมีความสามารถในการแพร่กระจายไปยังแพ็กเกจอื่น ๆ โดยอัตโนมัติ ทำให้การติดเชื้อขยายตัวอย่างรวดเร็วในระบบนิเวศของนักพัฒนา
มัลแวร์นี้เริ่มต้นด้วยการแทรกสคริปต์ setup_bun.js ลงในไฟล์ package.json โดยอ้างว่าเป็นการติดตั้ง Bun runtime แต่แท้จริงแล้วเป็นตัวโหลดที่เรียกใช้ไฟล์ bun_environment.js ซึ่งถูกเข้ารหัสและมีขนาดใหญ่เพื่อหลบเลี่ยงการตรวจสอบทั่วไป
เมื่อทำงาน มัลแวร์จะ เก็บข้อมูล credential จากหลายแหล่ง เช่น GitHub, npm, AWS, GCP และ Azure รวมถึงใช้เครื่องมือ Trufflehog เพื่อค้นหาคีย์และรหัสผ่านที่ซ่อนอยู่ในระบบไฟล์ จากนั้นจะส่งข้อมูลไปยัง repository ที่ผู้โจมตีควบคุม โดยใช้คำอธิบายพิเศษ “Sha1-Hulud: The Second Coming” เพื่อระบุว่าเป็นส่วนหนึ่งของเครือข่ายที่ติดเชื้อ
สิ่งที่น่ากังวลที่สุดคือ dead man’s switch ที่ถูกฝังไว้ หากระบบที่ติดเชื้อสูญเสียการเข้าถึงทั้ง GitHub และ npm พร้อมกัน มัลแวร์จะทำลายข้อมูลทันที โดยใน Windows จะลบไฟล์และเขียนทับดิสก์ ส่วนใน Unix จะใช้คำสั่ง shred เพื่อลบไฟล์อย่างถาวร ทำให้การกู้คืนแทบเป็นไปไม่ได้
📌 สรุปสาระสำคัญ
✅ ลักษณะการโจมตี
➡️ ใช้มัลแวร์ Shai-Hulud v2 แพร่กระจายผ่าน npm
➡️ มีพฤติกรรม worm-like ติดเชื้อแพ็กเกจอื่นโดยอัตโนมัติ
✅ วิธีการทำงาน
➡️ แทรกสคริปต์ setup_bun.js ใน package.json
➡️ เรียกใช้ payload bun_environment.js ที่ถูกเข้ารหัส
✅ การเก็บข้อมูล
➡️ ดึง credential จาก GitHub, npm, AWS, GCP, Azure
➡️ ใช้ Trufflehog สแกนระบบไฟล์หาคีย์และรหัสผ่าน
‼️ ความเสี่ยงร้ายแรง
⛔ มี dead man’s switch ที่ทำลายข้อมูลหากถูกตัดการเชื่อมต่อ
⛔ อาจทำให้ผู้ใช้จำนวนมากสูญเสียข้อมูลพร้อมกัน
‼️ ผลกระทบต่อระบบนิเวศ
⛔ การแพร่กระจายอัตโนมัติทำให้หลายแพ็กเกจอาจถูกติดเชื้อ
⛔ สร้างเครือข่าย botnet-like ที่แชร์ token ระหว่างระบบที่ติดเชื้อ
https://about.gitlab.com/blog/gitlab-discovers-widespread-npm-supply-chain-attack/
0 Comments
0 Shares
21 Views
0 Reviews
Thai