GitHub ยอมรับโดนแฮก ข้อมูลจาก repo ภายในหลายพันอันถูกขโมยไปแล้ว

ภาพประกอบอาจไม่เกี่ยวข้องหรือไม่ใช่เหตุการณ์จริงตามบทความ

GitHub ออกมายืนยันแล้วว่าถูกแฮกจริง หลังมีแฮกเกอร์นำข้อมูลจาก repo ภายในบริษัทไปประกาศขายบนเว็บใต้ดิน

รอบนี้ไม่ใช่ข้อมูลเล็ก ๆ ด้วย เพราะมี repo ภายในถูกเข้าถึงเกือบ 4,000 รายการ

ต้นเรื่องมาจากพนักงานคนหนึ่งติดตั้ง extension อันตรายใน VS Code โดยไม่รู้ตัว

หลังจากนั้นแฮกเกอร์ก็ใช้ช่องทางนี้เข้าถึงระบบภายในต่อ

GitHub ระบุว่า ตอนนี้ยังไม่พบหลักฐานว่าข้อมูลลูกค้าหรือ repo ของผู้ใช้ทั่วไปได้รับผลกระทบ แต่ข้อมูลภายในบริษัทถูกดึงออกไปจริง

ช่วงหลังข่าวแนวนี้เริ่มมาเรื่อย ๆ โดยเฉพาะการโจมตีผ่าน plugin, extension หรือ package ที่นักพัฒนาใช้กันทุกวัน

ปัญหาคือของพวกนี้หลายคนติดตั้งแบบแทบไม่คิดอะไร เพราะดูเหมือนเครื่องมือธรรมดา

แต่พอมีตัวไหนถูกฝังโค้ดอันตรายเข้าไปทีเดียว มันก็ลามได้เร็วมาก

ข่าวนี้หนักตรงที่เป้าหมายคือ GitHub เอง

เพราะ GitHub ถือเป็นศูนย์กลางสำคัญของโลก developer ไปแล้ว

ทั้งบริษัทใหญ่
โปรเจกต์ open source
ระบบ AI
หรือเครื่องมือดัง ๆ จำนวนมาก ก็อยู่บน GitHub กันหมด

พอแพลตฟอร์มระดับนี้ถูกเจาะ คนในวงการเลยเริ่มระแวงกันพอสมควร

ตอนนี้กลุ่มที่ถูกพูดถึงเยอะคือ TeamPCP

ช่วงไม่กี่เดือนที่ผ่านมา กลุ่มนี้ถูกโยงกับหลายคดีเกี่ยวกับ supply chain attack แล้ว

วิธีโจมตีไม่ได้มาแบบตรง ๆ อย่างเดียว แต่เน้นแอบฝังตัวผ่านเครื่องมือที่นักพัฒนาไว้ใจแทน

ยิ่งเดี๋ยวนี้ AI ช่วยเขียนโค้ดเร็วขึ้น คนก็ยิ่งติดตั้ง package หรือ extension กันเยอะกว่าเดิมอีก

แล้วหลายครั้งก็ไม่ได้ตรวจละเอียดด้วย

อ่านข่าวนี้แล้วเห็นชัดว่า ต่อให้เป็นบริษัทระดับ GitHub ก็ยังพลาดได้

บางทีจุดเริ่มต้นอาจเป็นแค่ extension เล็ก ๆ อันเดียวเท่านั้นเอง