SlowMist เตือนการโจมตีซัพพลายเชน Shai-Hulud 3.0 กลับมาอีกครั้ง

SlowMist บริษัทด้านความปลอดภัยไซเบอร์ ออกคำเตือนครั้งใหม่ หลังตรวจพบการกลับมาของการโจมตีซัพพลายเชน Shai-Hulud ซึ่งถูกระบุเป็นเวอร์ชัน 3.0 การแจ้งเตือนดังกล่าวมาจากประธานเจ้าหน้าที่ฝ่ายความมั่นคงสารสนเทศ (CISO) ของ SlowMist ที่ใช้ชื่อว่า 23pds ซึ่งเรียกร้องให้ทีมและแพลตฟอร์ม Web3 เร่งเสริมความแข็งแกร่งด้านการป้องกันโดยทันที ตามคำเตือน ระบุว่าเวอร์ชันล่าสุดมุ่งเป้าไปที่ระบบนิเวศของ NPM ซึ่งเป็นแพ็กเกจเมเนเจอร์ที่ถูกใช้อย่างแพร่หลายในงานพัฒนาซอฟต์แวร์ยุคใหม่

การโจมตีซัพพลายเชนในลักษณะนี้เปิดทางให้โค้ดอันตรายแพร่กระจายผ่านไลบรารีโอเพนซอร์สที่ได้รับความเชื่อถือ โดยมักเกิดขึ้นโดยที่นักพัฒนาไม่รู้ตัว ส่งผลให้แม้การติดเชื้อเพียงเล็กน้อยก็สามารถขยายวงได้อย่างรวดเร็วไปยังหลายโครงการ SlowMist ระบุว่าเหตุการณ์ก่อนหน้านี้ รวมถึงกรณีการรั่วไหลของ API key ที่เคยเชื่อมโยงกับ Trust Wallet อาจมีต้นตอมาจาก Shai-Hulud เวอร์ชันก่อนหน้า การกลับมาของมัลแวร์ครั้งนี้จึงสร้างความกังวลว่า ผู้โจมตีกำลังปรับปรุงและนำเทคนิคที่พิสูจน์แล้วกลับมาใช้อีกครั้ง

อะไรทำให้ Shai-Hulud 3.0 แตกต่าง

นักวิจัยด้านความปลอดภัยระบุว่า Shai-Hulud 3.0 มีการเปลี่ยนแปลงทางเทคนิคที่ชัดเจนเมื่อเทียบกับเวอร์ชันก่อนหน้า การวิเคราะห์จากนักวิจัยอิสระชี้ว่า มัลแวร์ในเวอร์ชันนี้ใช้ชื่อไฟล์ที่แตกต่างออกไป มีการปรับโครงสร้างของเพย์โหลด และเพิ่มความเข้ากันได้กับระบบปฏิบัติการหลายแพลตฟอร์ม นอกจากนี้ สายพันธุ์ใหม่ยังถูกระบุว่าได้ตัด “dead man switch” ออกไป ซึ่งเป็นฟีเจอร์ที่สามารถปิดการทำงานของมัลแวร์ได้ในบางเงื่อนไข แม้การตัดฟีเจอร์ดังกล่าวจะช่วยลดความเสี่ยงบางส่วน แต่ก็สะท้อนว่าผู้โจมตีกำลังทำให้ขั้นตอนการทำงานเรียบง่ายขึ้น เพื่อหลีกเลี่ยงการถูกตรวจจับ

นักวิจัยยังสังเกตว่า มัลแวร์ดูเหมือนจะถูกทำให้โค้ดสับสน (obfuscation) มาจากซอร์สโค้ดต้นฉบับ แทนที่จะคัดลอกมาโดยตรง รายละเอียดนี้บ่งชี้ว่าผู้โจมตีมีการเข้าถึงวัสดุจากการโจมตีก่อนหน้า และสะท้อนถึงผู้เล่นภัยคุกคามที่มีความซับซ้อนมากขึ้น ผลการตรวจสอบเบื้องต้นพบว่าการแพร่กระจายยังอยู่ในวงจำกัด ซึ่งอาจหมายความว่าผู้โจมตียังคงอยู่ในขั้นตอนทดสอบเพย์โหลด

นักวิจัยตรวจสอบแพ็กเกจ NPM ที่ยังใช้งานอยู่

ชาร์ลี เอริกเซน นักวิจัยด้านความปลอดภัยอิสระ ยืนยันว่าทีมของเขากำลังตรวจสอบสายพันธุ์ใหม่นี้อย่างจริงจัง ตามข้อมูลที่เปิดเผยต่อสาธารณะ พบมัลแวร์ถูกฝังอยู่ในแพ็กเกจ NPM รายหนึ่ง ส่งผลให้มีการตรวจสอบเชิงลึกต่อ dependency ที่เกี่ยวข้อง การสืบสวนพบว่า มัลแวร์พยายามดึงตัวแปรสภาพแวดล้อม (environment variables) ข้อมูลรับรองระบบคลาวด์ และไฟล์ลับ ก่อนอัปโหลดข้อมูลเหล่านี้ไปยังรีโพซิทอรีที่ผู้โจมตีควบคุม เทคนิคดังกล่าวสอดคล้องกับการโจมตี Shai-Hulud ในอดีต แต่มีลำดับขั้นตอนและการจัดการข้อผิดพลาดที่ละเอียดขึ้น ปัจจุบัน นักวิจัยระบุว่ายังไม่พบหลักฐานของการถูกเจาะระบบในวงกว้าง อย่างไรก็ตาม พวกเขาเตือนว่าการโจมตีซัพพลายเชนมักขยายตัวอย่างรวดเร็ว หลังจากผู้โจมตียืนยันว่าโค้ดมีเสถียรภาพ

อุตสาหกรรมถูกเรียกร้องให้เข้มงวดความปลอดภัยของ dependency

SlowMist แนะนำให้ทีมโครงการตรวจสอบ dependency อย่างละเอียด ล็อกเวอร์ชันของแพ็กเกจ และเฝ้าระวังพฤติกรรมเครือข่ายที่ผิดปกติ พร้อมทั้งสนับสนุนให้นักพัฒนาทบทวน build pipeline และจำกัดการเข้าถึงข้อมูลรับรองที่มีความอ่อนไหว บริษัทเน้นย้ำว่า ภัยคุกคามด้านซัพพลายเชนยังคงเป็นหนึ่งในความเสี่ยงที่ถูกประเมินต่ำที่สุดในโลก Web3 และซอฟต์แวร์โอเพนซอร์ส แม้แพลตฟอร์มที่มีการป้องกันดี ก็ยังอาจเปิดช่องโหว่ผ่านไลบรารีของบุคคลที่สามได้ ขณะที่การสืบสวนยังดำเนินต่อไป ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ใช้ความระมัดระวัง มากกว่าการตื่นตระหนก อย่างไรก็ดี พวกเขาเห็นตรงกันว่า Shai-Hulud 3.0 เป็นเครื่องเตือนใจว่า ซัพพลายเชนซอฟต์แวร์ยังคงเป็นเป้าหมายที่มีมูลค่าสูงสำหรับผู้โจมตี