การโจมตีจากแฮกเกอร์เกาหลีเหนือ
บริษัทความปลอดภัยไซเบอร์ของสหรัฐฯ รายงานว่า แฮกเกอร์ชาวเกาหลีเหนือ ได้เปลี่ยนหนึ่งในห้องสมุดซอฟต์แวร์ที่ใช้กันอย่างแพร่หลายที่สุดในโลกให้กลายเป็นระบบส่งมอบมัลแวร์ ในรายงานเมื่อสัปดาห์ที่แล้ว นักวิจัยจากบริษัท Socket ซึ่งเชี่ยวชาญด้านความปลอดภัยในห่วงโซ่อุปทาน กล่าวว่า พวกเขาพบแพ็คเกจโค้ดที่เป็นอันตรายมากกว่า 300 แพ็คเกจ ที่ถูกอัปโหลดไปยัง npm registry ซึ่งเป็นที่เก็บข้อมูลกลางที่นักพัฒนาหลายล้านคนใช้ในการแชร์และติดตั้งซอฟต์แวร์ JavaScript
แพ็คเกจเหล่านี้—ชิ้นส่วนเล็ก ๆ ของโค้ดที่สามารถนำกลับมาใช้ใหม่ได้ซึ่งใช้ในทุกอย่างตั้งแต่เว็บไซต์ไปจนถึงแอปพลิเคชันคริปโต—ถูกออกแบบมาให้ดูไม่เป็นอันตราย แต่เมื่อดาวน์โหลดแล้ว จะติดตั้งมัลแวร์ที่สามารถขโมยรหัสผ่าน ข้อมูลเบราว์เซอร์ และกุญแจกระเป๋าเงินคริปโต
แคมเปญ “Contagious Interview”
Socket กล่าวว่า แคมเปญนี้ ซึ่งพวกเขาเรียกว่า “Contagious Interview” เป็นส่วนหนึ่งของการดำเนินการที่ซับซ้อนซึ่งดำเนินการโดยแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือ โดยแอบอ้างเป็นผู้สรรหาทางเทคโนโลยีเพื่อโจมตีผู้พัฒนาที่ทำงานในด้านบล็อกเชน Web3 และอุตสาหกรรมที่เกี่ยวข้อง
ความสำคัญของ npm
เหตุใดจึงสำคัญ: npm เป็นกระดูกสันหลังของเว็บสมัยใหม่ การโจมตี npm ช่วยให้ผู้โจมตีสามารถแทรกโค้ดที่เป็นอันตรายลงในแอปพลิเคชันที่อยู่ด้านล่างจำนวนมาก ผู้เชี่ยวชาญด้านความปลอดภัยได้เตือนมาหลายปีแล้วว่าการโจมตี “ซอฟต์แวร์ซัพพลายเชน” เช่นนี้เป็นหนึ่งในสิ่งที่อันตรายที่สุดในไซเบอร์สเปซ เพราะมันแพร่กระจายอย่างมองไม่เห็นผ่านการอัปเดตและการพึ่งพาที่ถูกต้องตามกฎหมาย
การติดตามแคมเปญ
นักวิจัยของ Socket ได้ติดตามแคมเปญนี้ผ่านกลุ่มชื่อแพ็คเกจที่ดูคล้ายกัน—เวอร์ชันที่สะกดผิดของห้องสมุดยอดนิยม เช่น express, dotenv และ hardhat—และผ่านรูปแบบโค้ดที่เชื่อมโยงกับครอบครัวมัลแวร์เกาหลีเหนือที่เคยถูกระบุไว้ก่อนหน้านี้ซึ่งรู้จักกันในชื่อ BeaverTail และ InvisibleFerret
ผู้โจมตีใช้สคริปต์ “loader” ที่เข้ารหัสซึ่งถอดรหัสและดำเนินการโหลดที่ซ่อนอยู่โดยตรงในหน่วยความจำ ทำให้มีร่องรอยน้อยมากบนดิสก์
การตอบสนองของ GitHub
บริษัทกล่าวว่ามีการดาวน์โหลดแพ็คเกจที่เป็นอันตรายประมาณ 50,000 ครั้ง ก่อนที่หลายแพ็คเกจจะถูกลบออก แม้ว่าบางแพ็คเกจยังคงออนไลน์อยู่ แฮกเกอร์ยังใช้บัญชีผู้สรรหาที่ปลอมใน LinkedIn ซึ่งเป็นกลยุทธ์ที่สอดคล้องกับแคมเปญการจารกรรมไซเบอร์ของ DPRK ที่มีการบันทึกโดยหน่วยงานความปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) และรายงานก่อนหน้านี้ใน Decrypt
เป้าหมายของการโจมตี
เป้าหมายสุดท้ายที่นักสืบเชื่อคือเครื่องที่ถือข้อมูลรับรองการเข้าถึงและกระเป๋าเงินดิจิทัล ขณะที่การค้นพบของ Socket สอดคล้องกับรายงานจากกลุ่มความปลอดภัยอื่น ๆ และหน่วยงานรัฐบาลที่เชื่อมโยงเกาหลีเหนือกับการขโมยคริปโตที่มีมูลค่าหลายพันล้านดอลลาร์
การตรวจสอบอิสระในทุกรายละเอียด—เช่น จำนวนแพ็คเกจที่ถูกโจมตีอย่างแน่นอน—ยังคงรอดำเนินการ อย่างไรก็ตาม หลักฐานทางเทคนิคและรูปแบบที่อธิบายไว้นั้นสอดคล้องกับเหตุการณ์ก่อนหน้านี้ที่เชื่อมโยงกับปียงยาง
การป้องกันและการตอบสนอง
เจ้าของ npm, GitHub กล่าวว่าได้ลบแพ็คเกจที่เป็นอันตรายเมื่อค้นพบและกำลังปรับปรุงข้อกำหนดการตรวจสอบบัญชี แต่รูปแบบที่นักวิจัยกล่าวว่าเป็นการเล่น whack-a-mole: ลบแพ็คเกจที่เป็นอันตรายชุดหนึ่ง และอีกหลายร้อยชุดจะเข้ามาแทนที่ในไม่ช้า
สำหรับนักพัฒนาและสตาร์ทอัพคริปโต เหตุการณ์นี้เน้นย้ำถึงความเปราะบางของห่วงโซ่อุปทานซอฟต์แวร์ที่เพิ่มขึ้น นักวิจัยด้านความปลอดภัยเรียกร้องให้ทีมงานปฏิบัติต่อคำสั่ง “npm install” ทุกคำสั่งเป็นการดำเนินการโค้ดที่อาจเกิดขึ้น สแกนการพึ่งพาก่อนที่จะรวมเข้ากับโครงการ และใช้เครื่องมือการตรวจสอบอัตโนมัติเพื่อจับแพ็คเกจที่ถูกดัดแปลง
ความแข็งแกร่งของระบบนิเวศโอเพนซอร์ส—ความเปิดกว้าง—ยังคงเป็นจุดอ่อนที่ยิ่งใหญ่ที่สุดเมื่อศัตรูตัดสินใจที่จะใช้เป็นอาวุธ
