Dev ระวัง แคมเปญ TrapDoor ซุกมัลแวร์ซ่อนตามเครื่องมือพัฒนาซอฟต์แวร์ มุ่งเล่นงาน Dev

เผยแพร่: 20 มิถุนายน 2569 เวลา 01:47 น.
อัปเดตล่าสุด: 20 มิถุนายน 2569 เวลา 08:34 น.เขียนโดย Annonymus TN

จากรายงานโดยเว็บไซต์ CSO Online ได้กล่าวถึงการตรวจพบแคมเปญ Trapdoor ที่มุ่งเน้นโจมตีกลุ่มนักพัฒนาซอฟต์แวร์ ด้วยการซุกซ่อนมัลแวร์ไว้ในแพ็คเกจเครื่องมือสำหรับใช้ในระบบการพัฒนาซอฟต์แวร์ (Software Development Workflow) ตามคลังดิจิทัล (Repo หรือ Repository) ยอดนิยมในวงการและมักถูกใช้ในทุกขั้นตอนการทำงาน เช่น npm, PyPI, และ Crates.io ทำให้เหยื่อไว้วางใจและดาวน์โหลดไปติดตั้ง ซึ่งทางทีมวิจัยจาก Socket บริษัทผู้เชี่ยวชาญด้านการต่อต้านภัยจากการโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) กล่าวว่า มีการตรวจพบแพ็คเกจแฝงมัลแวร์มากถึง 34 แพ็คเกจ โดยครอบคลุมมากกว่า 284 เวอร์ชัน และ Artifact เลยทีเดียว โดยมัลแวร์ภายในแพ็คเกจเหล่านี้ถูกออกแบบมาเพื่อการขโมยข้อมูลลับต่าง ๆ เช่น รหัสผ่านเข้าใช้งานบริการ AWS, Token สำหรับเข้าใช่งาน Github, ข้อมูลบนเว็บเบราว์เซอร์, ข้อมูลตัวแปรสภาพแวดล้อม (Environment Variables), ข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี, และข้อมูลการตั้งค่าบนเครื่อง (Local Configuration) ของนักพัฒนาที่ตกเป็นเหยื่อ

ทางทีมวิจัยระบุว่า ตัวมัลแวร์นั้นไม่ได้มีพฤติกรรมเหมือนกับมัลแวร์แบบฉวยโอกาส (Opportunistic Malware) อย่างมัลแวร์ทั่วไป แต่แทรกซึมเข้าไปยังส่วนต่าง ๆ ของ Workflow การทำงานของผู้พัฒนา เช่น

มัลแวร์บน npm นั้นจะใช้การทำงานของสคริปท์หลังจากติดตั้งเสร็จ (Postinstall Script)

มัลแวร์บน PyPi นั้นจะใช้วิธีการรันหลังโหลดแบบทันที (Import-Time Execution) เพื่อดึง (Fetch) และรัน JavaScript จากระยะไกล (Remote)

มัลแวร์บน Crates.io จะใช้สคริปท์ที่ถูกสร้างขึ้นมาด้วยภาษา Rust ที่จะทำงานระหว่างคอมไพล์ (Compilation)

นอกจากนั้นยังพบว่า มัลแวร์พยายามแทรกแซงเครื่องมือช่วยเขียนโค้ดแบบ AI (AI-Coding Tools) ด้วยการใช้คำสั่งแบบ Unicode (Unicode Instructions) เพื่อแก้ไขไฟล์ของเครื่องมือเหล่านี้ เช่น .cursorrules และ CLAUDE.md อีกด้วย ซึ่งทางทีมวิจัยคาดว่า เป็นความพยายามในการใช้เครื่องมือ AI ทำการสแกนระบบรักษาความปลอดภัยของเครื่องเหยื่อเพื่อหาช่องโหว่ในการเข้าขโมยข้อมูลลับและลักลอบส่งกลับ (Exfiltration) ไปให้กับแฮกเกอร์ที่อยู่เบื้องหลัง

ทางทีมวิจัยระบุว่าแคมเปญดังกล่าวนั้นเรียกได้ว่าเป็นแคมเปญที่ร้ายกาจมาก จากการที่ตัวมัลแวร์นั้นสามารถแทรกซึมเข้าไปในระดับ Workflow ทำให้การตรวจจับนั้นทำได้ยาก ไม่เพียงเท่านั้น ถ้ามัลแวร์เจาะเครื่องของเหยื่อได้แล้ว ยังมีความสามารถใช้การใช้เครื่องของเหยื่อเป็นทางผ่าน (Entry Point) เข้าไปยังโครงสร้างหลักของโครงการพัฒนาซอฟต์แวร์ อย่าง CI/CD Pipelines และ Build Infrastructure ได้เลยทีเดียว

จากความซับซ้อนในการทำงานของมัลแวร์ต่าง ๆ บนแคมเปญนี้ ทำให้การป้องกันภัยจากมัลแวร์ทำได้ยุ่งยากตามไปด้วย เนื่องจากแค่การล็อกไฟล์ หรือ การใช้เครื่องมือรักษาความปลอดภัยอุปกรณ์ปลายทาง (EDR หรือ Endpoint Detection and Response) นั้นไม่เพียงพอด้วยเหตุผลที่กล่าวมาข้างต้น การที่ตัวระบบทั้งโครงสร้างจะปลอดภัยจากมัลแวร์ตัวนี้ได้นั้นจะต้องมีการใช้นโยบายความปลอดภัยในหลากส่วน เช่น การควบคุมการติดตั้งใช้งาน Dependency ต่าง ๆ อย่างเข้มงวด, การสแกนทุกไฟล์ก่อนอนุญาตให้ติดตั้ง, และ การให้สิทธิ์ที่น้อยที่สุด (Least-Privilege Access) ให้กับนักพัฒนาต่าง ๆ เป็นต้น ถึงจะมั่นใจได้ว่าตัวระบบจะปลอดภัยจากมัลแวร์ต่าง ๆ บนแคมเปญนี้

เนื้อหาโดย: Annonymus TN

⚠ แจ้งเนื้อหาไม่เหมาะสม

มีผู้เข้าชมแล้ว 19 ครั้ง
เขียนโดย Annonymus TN

นักข่าวสายอาชญากรรมไซเบอร์และเทคโนโลยี เชี่ยวชาญการรายงานภัยออนไลน์ เช่น มัลแวร์ การหลอกลวง และการใช้ AI ในทางผิด โดยนำเสนอข้อมูลที่ซับซ้อนให้เข้าใจง่าย กระชับ และตรงประเด็น เพื่อให้ผู้อ่านรู้ทันภัยดิจิทัลก่อนตกเป็นเ

เป็นกำลังใจให้เจ้าของกระทู้โดยการ VOTE และ SHARE

Hot Topic ที่น่าสนใจอื่นๆ