การโจมตีทางไซเบอร์ขนาดใหญ่
การโจมตีทางไซเบอร์ขนาดใหญ่ที่มุ่งเป้าไปที่โค้ด JavaScript ด้วยมัลแวร์ ซึ่งสร้างความตื่นตระหนกเมื่อสัปดาห์ที่แล้ว สามารถขโมยเงินในสกุลเงินดิจิทัลได้เพียง 1,043 ดอลลาร์ ตามข้อมูลจาก Arkham Intelligence นักวิจัยด้านความปลอดภัยไซเบอร์ที่ Wiz ได้เผยแพร่การวิเคราะห์เกี่ยวกับการโจมตีในห่วงโซ่อุปทานที่ “แพร่หลาย” เมื่อวานนี้ โดยเขียนในบล็อกโพสต์ว่าผู้กระทำผิดใช้การวิศวกรรมสังคมเพื่อควบคุมบัญชี GitHub ของ Qix (Josh Junon) ซึ่งเป็นนักพัฒนาชุดโค้ดที่ได้รับความนิยมสำหรับ JavaScript
วิธีการโจมตี
แฮกเกอร์ได้เผยแพร่การอัปเดตสำหรับชุดโค้ดบางส่วน โดยเพิ่มโค้ดที่เป็นอันตรายซึ่งจะเปิดใช้งาน APIs และอินเทอร์เฟซกระเป๋าเงินดิจิทัล รวมถึงสแกนธุรกรรมสกุลเงินดิจิทัลเพื่อเขียนที่อยู่ผู้รับและข้อมูลธุรกรรมอื่น ๆ
“นักวิจัยของ Wiz สรุปว่าร้อยละ 10 ของสภาพแวดล้อมคลาวด์มีโค้ดที่เป็นอันตรายอยู่บ้าง และร้อยละ 99 ของสภาพแวดล้อมคลาวด์ทั้งหมดใช้ชุดโค้ดบางส่วนที่ถูกแฮกเกอร์โจมตี”
แม้ว่าจะมีศักยภาพในการโจมตีในระดับใหญ่ แต่ข้อมูลล่าสุดจาก Arkham แสดงให้เห็นว่ากระเป๋าเงินของผู้กระทำผิดได้รับเงินจำนวนที่ค่อนข้างน้อยเพียง 1,043 ดอลลาร์ ซึ่งเพิ่มขึ้นอย่างช้า ๆ ในช่วงสองสามวันที่ผ่านมา โดยมีการโอนส่วนใหญ่เป็นโทเค็น ERC-20 โดยธุรกรรมแต่ละรายการมีมูลค่าอยู่ระหว่าง 1.29 ถึง 436 ดอลลาร์
การโจมตีในห่วงโซ่อุปทานซอฟต์แวร์
การโจมตีเดียวกันนี้ยังขยายไปยังแพ็คเกจ npm ของ Qix โดยมีการอัปเดตเมื่อวานนี้จาก JFrog Security ที่เปิดเผยว่าระบบจัดการฐานข้อมูล DuckDB SQL ถูกโจมตี การอัปเดตนี้ยังแนะนำว่าการโจมตี “ดูเหมือนจะเป็นการโจมตี npm ที่ใหญ่ที่สุดในประวัติศาสตร์” ซึ่งเน้นย้ำถึงขนาดและขอบเขตที่น่าตกใจของการโจมตี
“ผู้โจมตีได้ตระหนักว่าการโจมตีแพ็คเกจหรือการพึ่งพาเพียงแพ็คเกจเดียวสามารถทำให้พวกเขาเข้าถึงสภาพแวดล้อมหลายพันแห่งได้ในครั้งเดียว”
ในความเป็นจริง ในช่วงไม่กี่เดือนที่ผ่านมาได้มีเหตุการณ์ที่คล้ายกันหลายครั้ง รวมถึงการแทรกคำขอการดึงที่เป็นอันตรายลงในส่วนขยาย ETHcode ของ Ethereum ในเดือนกรกฎาคม ซึ่งมีการดาวน์โหลดมากกว่า 6,000 ครั้ง
ความจำเป็นในการปกป้อง
เหตุการณ์ล่าสุดนี้ย้ำถึงความจำเป็นในการปกป้องท่อส่งการพัฒนา โดยองค์กรต่าง ๆ ถูกกระตุ้นให้รักษาความโปร่งใสในห่วงโซ่อุปทานซอฟต์แวร์ทั้งหมด ในขณะที่ยังคอยติดตามพฤติกรรมของแพ็คเกจที่ผิดปกติ ดูเหมือนว่านี่จะเป็นสิ่งที่องค์กรและหน่วยงานหลายแห่งกำลังทำในกรณีของการโจมตี Qix ซึ่งถูกตรวจพบภายใน สองชั่วโมง หลังจากการเผยแพร่
“การตรวจจับอย่างรวดเร็วเป็นหนึ่งในเหตุผลหลักที่ทำให้ความเสียหายทางการเงินจากการโจมตีนี้ยังคงจำกัดอยู่”
แต่ Wiz Research แนะนำว่ามีปัจจัยอื่น ๆ ที่มีบทบาท “Payload ถูกออกแบบมาอย่างแคบเพื่อมุ่งเป้าไปที่ผู้ใช้ที่มีเงื่อนไขเฉพาะ ซึ่งอาจลดขอบเขตของมัน” นักพัฒนายังมีความตระหนักเกี่ยวกับภัยคุกคามดังกล่าวมากขึ้น นักวิจัยของ Wiz กล่าว โดยมีหลายคนที่มีการป้องกันเพื่อจับกิจกรรมที่น่าสงสัยก่อนที่จะส่งผลให้เกิดความเสียหายร้ายแรง
“มันเป็นไปได้เสมอที่เราจะเห็นรายงานผลกระทบที่ล่าช้า แต่ตามที่เราทราบในวันนี้ การตรวจจับอย่างรวดเร็วและความพยายามในการกำจัดดูเหมือนจะจำกัดความสำเร็จของผู้โจมตี”
