แคมเปญนี้จะเป็นการซอยย่อยมัลแวร์ให้เข้ากับองค์ประกอบของ Workflow การทำงานของ Dev จนตรวจจับได้ยากถึงแม้กลุ่มเหล่านักพัฒนาซอฟต์แวร์ หรือ Developer นั้นมักจะเป็นผู้ที่เชี่ยวชาญในด้านไอทีและเทคโนโลยี แต่ก็มักจะตกเป็นเหยื่อลำดับต้น ๆ ของแฮกเกอร์และมัลแวร์อยู่เสมอ เพราะด้วยการงานแล้วถ้าแฮกเกอร์สามารถเข้าถึงได้ ก็จะนำไปสู่การจารกรรมซอฟต์แวร์ของทางบริษัทต้นสังกัด หรือฝังมัลแวร์ลงในตัวติดตั้งซอฟต์แวร์ของทางบริษัทต่อไปได้จากรายงานโดยเว็บไซต์ CSO Online ได้กล่าวถึงการตรวจพบแคมเปญ Trapdoor ที่มุ่งเน้นโจมตีกลุ่มนักพัฒนาซอฟต์แวร์ ด้วยการซุกซ่อนมัลแวร์ไว้ในแพ็คเกจเครื่องมือสำหรับใช้ในระบบการพัฒนาซอฟต์แวร์ (Software Development Workflow) ตามคลังดิจิทัล (Repo หรือ Repository) ยอดนิยมในวงการและมักถูกใช้ในทุกขั้นตอนการทำงาน เช่น npm, PyPI, และ Crates.io ทำให้เหยื่อไว้วางใจและดาวน์โหลดไปติดตั้ง ซึ่งทางทีมวิจัยจาก Socket บริษัทผู้เชี่ยวชาญด้านการต่อต้านภัยจากการโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) กล่าวว่า มีการตรวจพบแพ็คเกจแฝงมัลแวร์มากถึง 34 แพ็คเกจ โดยครอบคลุมมากกว่า 284 เวอร์ชัน และ Artifact เลยทีเดียว โดยมัลแวร์ภายในแพ็คเกจเหล่านี้ถูกออกแบบมาเพื่อการขโมยข้อมูลลับต่าง ๆ เช่น รหัสผ่านเข้าใช้งานบริการ AWS, Token สำหรับเข้าใช่งาน Github, ข้อมูลบนเว็บเบราว์เซอร์, ข้อมูลตัวแปรสภาพแวดล้อม (Environment Variables), ข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี, และข้อมูลการตั้งค่าบนเครื่อง (Local Configuration) ของนักพัฒนาที่ตกเป็นเหยื่อทางทีมวิจัยระบุว่า ตัวมัลแวร์นั้นไม่ได้มีพฤติกรรมเหมือนกับมัลแวร์แบบฉวยโอกาส (Opportunistic Malware) อย่างมัลแวร์ทั่วไป แต่แทรกซึมเข้าไปยังส่วนต่าง ๆ ของ Workflow การทำงานของผู้พัฒนา เช่นมัลแวร์บน npm นั้นจะใช้การทำงานของสคริปท์หลังจากติดตั้งเสร็จ (Postinstall Script)มัลแวร์บน PyPi นั้นจะใช้วิธีการรันหลังโหลดแบบทันที (Import-Time Execution) เพื่อดึง (Fetch) และรัน JavaScript จากระยะไกล (Remote)มัลแวร์บน Crates.io จะใช้สคริปท์ที่ถูกสร้างขึ้นมาด้วยภาษา Rust ที่จะทำงานระหว่างคอมไพล์ (Compilation)นอกจากนั้นยังพบว่า มัลแวร์พยายามแทรกแซงเครื่องมือช่วยเขียนโค้ดแบบ AI (AI-Coding Tools) ด้วยการใช้คำสั่งแบบ Unicode (Unicode Instructions) เพื่อแก้ไขไฟล์ของเครื่องมือเหล่านี้ เช่น .cursorrules และ CLAUDE.md อีกด้วย ซึ่งทางทีมวิจัยคาดว่า เป็นความพยายามในการใช้เครื่องมือ AI ทำการสแกนระบบรักษาความปลอดภัยของเครื่องเหยื่อเพื่อหาช่องโหว่ในการเข้าขโมยข้อมูลลับและลักลอบส่งกลับ (Exfiltration) ไปให้กับแฮกเกอร์ที่อยู่เบื้องหลังทางทีมวิจัยระบุว่าแคมเปญดังกล่าวนั้นเรียกได้ว่าเป็นแคมเปญที่ร้ายกาจมาก จากการที่ตัวมัลแวร์นั้นสามารถแทรกซึมเข้าไปในระดับ Workflow ทำให้การตรวจจับนั้นทำได้ยาก ไม่เพียงเท่านั้น ถ้ามัลแวร์เจาะเครื่องของเหยื่อได้แล้ว ยังมีความสามารถใช้การใช้เครื่องของเหยื่อเป็นทางผ่าน (Entry Point) เข้าไปยังโครงสร้างหลักของโครงการพัฒนาซอฟต์แวร์ อย่าง CI/CD Pipelines และ Build Infrastructure ได้เลยทีเดียวจากความซับซ้อนในการทำงานของมัลแวร์ต่าง ๆ บนแคมเปญนี้ ทำให้การป้องกันภัยจากมัลแวร์ทำได้ยุ่งยากตามไปด้วย เนื่องจากแค่การล็อกไฟล์ หรือ การใช้เครื่องมือรักษาความปลอดภัยอุปกรณ์ปลายทาง (EDR หรือ Endpoint Detection and Response) นั้นไม่เพียงพอด้วยเหตุผลที่กล่าวมาข้างต้น การที่ตัวระบบทั้งโครงสร้างจะปลอดภัยจากมัลแวร์ตัวนี้ได้นั้นจะต้องมีการใช้นโยบายความปลอดภัยในหลากส่วน เช่น การควบคุมการติดตั้งใช้งาน Dependency ต่าง ๆ อย่างเข้มงวด, การสแกนทุกไฟล์ก่อนอนุญาตให้ติดตั้ง, และ การให้สิทธิ์ที่น้อยที่สุด (Least-Privilege Access) ให้กับนักพัฒนาต่าง ๆ เป็นต้น ถึงจะมั่นใจได้ว่าตัวระบบจะปลอดภัยจากมัลแวร์ต่าง ๆ บนแคมเปญนี้➤ Website : https://www.thaiware.com➤ Facebook : https://www.facebook.com/thaiware➤ Twitter : https://www.twitter.com/thaiware➤ YouTube : https://www.youtube.com/thaiwaretv
Dev ระวัง แคมเปญ TrapDoor ซุกมัลแวร์ซ่อนตามเครื่องมือพัฒนาซอฟต์แวร์ มุ่งเล่นงาน Dev
by
Tags: