คำเตือนความปลอดภัยฉุกเฉิน
ห้องปฏิบัติการด้านความปลอดภัยไซเบอร์ SlowMist ได้ออกคำเตือนความปลอดภัยฉุกเฉินภายใต้รหัส SM-2026-352284 ตามคำแถลงการณ์อย่างเป็นทางการ มีการตรวจพบการโจมตีห่วงโซ่อุปทานข้ามรีจิสทรีที่ใช้งานอยู่ โดยมีเป้าหมายไปยังผู้พัฒนา Web3 และผลิตภัณฑ์ AI
ขนาดของการโจมตี
แฮกเกอร์ได้ฉีดแพ็คเกจที่เป็นอันตรายมากกว่า 34 แพ็คเกจและเวอร์ชันที่เกี่ยวข้อง 384 เวอร์ชันเข้าไปในรีโพซิทอรี่ที่ใหญ่ที่สุด รวมถึง npm, PyPI และ Crates.io โดยมีเป้าหมายโดยตรงไปยังผู้พัฒนาในระบบนิเวศ Solana, DeFi และ AI
บริบทของการโจมตี
เหตุการณ์นี้เกิดขึ้นในบริบทของเดือนเมษายนที่มีการสูญเสียสถิติสูงสุด เมื่อภาคส่วน DeFi สูญเสีย 635 ล้านดอลลาร์ที่ไม่เคยมีมาก่อนในการโจมตี 28 ครั้ง แม้ว่าขนาดของการใช้ประโยชน์สัญญาอัจฉริยะโดยตรงลดลงในเดือนพฤษภาคม แต่ข้อมูลจาก SlowMist แสดงให้เห็นการเปลี่ยนแปลงพื้นฐานในกลยุทธ์ของผู้โจมตี ผู้โจมตีได้เปลี่ยนจุดสนใจจากการโจมตีเซิร์ฟเวอร์ที่มีการป้องกันไปยังการบุกรุกอุปกรณ์ส่วนตัวของวิศวกรอย่างลับๆ
ลักษณะของมัลแวร์ TrapDoor
การวิเคราะห์ของ SlowMist แสดงให้เห็นว่า TrapDoor ได้รับการออกแบบเพื่อการบุกรุกเต็มรูปแบบของสถานีงานของผู้พัฒนา มัลแวร์ขโมย:
- กระเป๋า crypto
- โทเค็นคลาวด์เช่น AWS
- ข้อมูลประจำตัว GitHub และคีย์การเข้าถึง
โดยส่งไปยังที่อยู่ที่ควบคุมโดยผู้โจมตี ในแนวคิด โครงการนี้ทำซ้ำตรรกะของ npm worm ที่มีชื่อเสียง “Mini Shai-Hulud”
กลยุทธ์การซ่อนตัว
เพื่อรักษาความคงอยู่ที่ลับเร้นในระบบ เพย์โลดเขียนตัวเองโดยตรงเข้าไปในไฟล์การกำหนดค่าผู้ช่วย AI เช่น .cursorrules และ CLAUDE.md พร้อมกับการซ่อนตัวภายใน Git hooks และสคริปต์อัตโนมัติในรีโพซิทอรี่ ซอฟต์แวร์จะปลอมตัวเป็นปลั๊กอิน AI และยูทิลิตี้การสร้างสำหรับ Sui และ Move
ความเสี่ยงจาก “Vibe Coding”
สถานการณ์นี้ยิ่งแย่ลงไปด้วยแนวโน้ม “vibe coding” ซึ่งวิศวกรประกอบโครงการผ่านพรอมต์และเชื่อมต่อไลบรารีที่ซ้อนกันหลายสิบแห่งโดยไม่ตั้งใจ ด้วยเหตุนี้ ตัวแทน AI จึงดาวน์โหลดโค้ดที่เป็นอันตรายโดยอัตโนมัติไปยังเครื่องที่มีตัวแก้ไขอัจฉริยะที่มีการเข้าถึงโดยตรงไปยังไฟล์การกำหนดค่าในเครื่อง
การตอบสนองและมาตรการแก้ไข
เนื่องจากสถานะที่สำคัญของภัยคุกคาม SlowMist จึงสั่งให้ทีมงาน:
- ลบแพ็คเกจที่ได้รับผลกระทบทันที
- แยกระบบที่ติดเชื้อ
- รักษาบันทึก
- เปิดตัวโปรโตคอลการแก้ไขสามขั้นตอน
