'Shai-Hulud v2' อาละวาดหนัก! ลามจาก npm สู่ Maven แฉรหัสลับนับพัน
ข่าวร้ายในโลกซอฟต์แวร์ซัพพลายเชน! การโจมตีระลอกที่สองของแคมเปญ Shai-Hulud v2 ได้ขยายวงกว้างจาก npm (ระบบจัดการแพ็กเกจสำหรับ JavaScript) ไปยัง Maven (ระบบจัดการแพ็กเกจสำหรับ Java) แล้ว หลังจากที่ก่อนหน้านี้ได้ฝังตัวอยู่ในแพ็กเกจมากกว่า 830 รายการใน npm
ทีมวิจัย Socket ได้เปิดเผยว่า พบแพ็กเกจใน Maven Central ที่ชื่อ org.mvnpm:posthog-node:4.18.1 ซึ่งมีส่วนประกอบอันตรายเดียวกันกับที่เชื่อมโยงกับ Shai-Hulud v2 คือ "setup_bun.js" (ตัวโหลด) และ "bun_environment.js" (เพย์โหลดหลัก)
"นี่หมายความว่าโปรเจกต์ PostHog มีการปล่อยเวอร์ชันที่มีช่องโหว่ในทั้งสองระบบนิเวศ คือ JavaScript/npm และ Java/Maven โดยขับเคลื่อนด้วยเพย์โหลด Shai Hulud v2 ตัวเดียวกัน" บริษัทด้านความปลอดภัยไซเบอร์กล่าว
น่าสังเกตว่า แพ็กเกจ Maven Central นี้ไม่ได้ถูกเผยแพร่โดย PostHog เอง แต่มาจากกระบวนการ mvnpm อัตโนมัติ ที่แปลงแพ็กเกจ npm ให้เป็นอาร์ติแฟกต์ของ Maven โดยทาง Maven Central ได้เร่งดำเนินการเพื่อเพิ่มมาตรการป้องกันไม่ให้มีการรวมส่วนประกอบ npm ที่ถูกบุกรุกเข้าไปอีก และได้ทำการล้างสำเนาที่ถูกมิเรอร์ออกไปทั้งหมดแล้ว ณ วันที่ 25 พฤศจิกายน 2025 เวลา 22:44 UTC
เป้าหมายของ Shai-Hulud v2: ขโมยข้อมูลลับและแพร่กระจาย
การกลับมาครั้งที่สองของ Shai-Hulud มีเป้าหมายในการขโมยข้อมูลสำคัญของผู้พัฒนาทั่วโลก เช่น API Keys, ข้อมูลรับรอง Cloud (AWS, Google Cloud, Azure), และโทเค็น npm/GitHub เพื่ออำนวยความสะดวกในการโจมตีซัพพลายเชนให้ลึกยิ่งขึ้นในลักษณะที่คล้ายกับหนอนคอมพิวเตอร์ (Worm-like fashion)
เวอร์ชันล่าสุดนี้มีความ แนบเนียน รุนแรง ขยายวงกว้าง และสร้างความเสียหายได้มากขึ้น นอกจากจะใช้ห่วงโซ่การติดเชื้อเดียวกับเวอร์ชันเดือนกันยายนแล้ว ผู้โจมตียังสามารถเข้าถึงบัญชีผู้ดูแล npm โดยไม่ได้รับอนุญาต และเผยแพร่แพ็กเกจเวอร์ชันที่มีมัลแวร์ฝังอยู่ได้ เมื่อนักพัฒนาที่ไม่ได้ระวังดาวน์โหลดและรันไลบรารีเหล่านี้ โค้ดอันตรายที่ฝังอยู่ก็จะทำการ แบคดอร์ เครื่องของพวกเขา และสแกนหารหัสลับ ก่อนจะส่งออกไปยังพื้นที่เก็บข้อมูลของ GitHub โดยใช้โทเค็นที่ขโมยมา
กลไกการโจมตีที่ซับซ้อน
การแทรกโค้ดอันตราย: Shai-Hulud v2 แทรกเวิร์กโฟลว์อันตราย 2 ตัว
- ตัวแรก: ลงทะเบียนเครื่องเหยื่อเป็น Self-Hosted Runner ทำให้สามารถสั่งรันคำสั่งตามอำเภอใจเมื่อมีการเปิด GitHub Discussion
- ตัวที่สอง: ออกแบบมาเพื่อเก็บเกี่ยวรหัสลับทั้งหมดอย่างเป็นระบบ
การหลบเลี่ยงการตรวจจับ:
- ใช้ Bun Runtime เพื่อซ่อนตรรกะหลัก (Core Logic)
- เพิ่มขีดความสามารถในการติดเชื้อจาก 20 เป็น 100 แพ็กเกจ
- ใช้เทคนิคใหม่ในการส่งข้อมูลที่ขโมยมาไปยังพื้นที่เก็บข้อมูลสาธารณะของ GitHub ที่มีการตั้งชื่อแบบสุ่ม แทนที่จะใช้ที่อยู่เดียวที่ระบุไว้
- เหยื่อ: มีพื้นที่เก็บข้อมูล (Repository) กว่า 28,000 แห่ง ที่ได้รับผลกระทบ
การวิเคราะห์เพิ่มเติมยังพบว่า ผู้โจมตีใช้ช่องโหว่จากการกำหนดค่า CI Misconfigurations ในเวิร์กโฟลว์ GitHub Actions บางตัว (โดยเฉพาะ pull_request_target และ workflow_run) เพื่อดำเนินการโจมตี และส่งผลกระทบต่อโปรเจกต์ใหญ่ๆ อย่าง AsyncAPI, PostHog, และ Postman
"การกำหนดค่าผิดพลาดเพียงครั้งเดียวสามารถเปลี่ยนพื้นที่เก็บข้อมูลให้กลายเป็นผู้ป่วยรายแรก (Patient Zero) สำหรับการโจมตีที่แพร่กระจายอย่างรวดเร็ว ทำให้ผู้ไม่หวังดีสามารถผลักดันโค้ดอันตรายผ่านไปป์ไลน์อัตโนมัติที่คุณต้องพึ่งพาทุกวัน" นักวิจัยด้านความปลอดภัยกล่าว
ผลกระทบและคำแนะนำเร่งด่วน
แคมเปญนี้ได้ เปิดเผยโทเค็นและข้อมูลรับรองนับร้อยรายการ ที่เชื่อมโยงกับ AWS, Google Cloud, และ Microsoft Azure โดยมีไฟล์มากกว่า 5,000 ไฟล์ที่ถูกอัปโหลดไปยัง GitHub พร้อมรหัสลับที่ถูกขโมยมา ข้อมูล ณ วันที่ 24 พฤศจิกายน 2025 พบว่า มีรหัสลับที่ไม่ซ้ำกัน 11,858 รายการ และ 2,298 รายการยังคงใช้งานได้ และถูกเปิดเผยต่อสาธารณะ
ผู้เชี่ยวชาญชี้ว่า การโจมตีนี้เป็นเพียงตัวอย่างที่แสดงให้เห็นว่า ผู้โจมตีสามารถใช้ประโยชน์จากช่องทางการแจกจ่ายซอฟต์แวร์ที่เชื่อถือได้อย่างง่ายดาย เพื่อผลักดันเวอร์ชันที่เป็นอันตรายในวงกว้าง และการที่มัลแวร์สามารถ แพร่กระจายตัวเองได้ ทำให้บัญชีที่ติดเชื้อเพียงบัญชีเดียวสามารถขยายวงความเสียหายให้กลายเป็นการระบาดในวงกว้างได้อย่างรวดเร็ว
คำแนะนำสำหรับผู้ใช้งาน:
- หมุนเวียน (Rotate) โทเค็นและคีย์ทั้งหมด
- ตรวจสอบ (Audit) การพึ่งพา (Dependencies) ทั้งหมด
- ลบ เวอร์ชันที่ถูกบุกรุกออก
- ติดตั้งแพ็กเกจใหม่ ที่สะอาด
- เสริมความแข็งแกร่ง ให้สภาพแวดล้อมการพัฒนาและ CI/CD ด้วยการเข้าถึงสิทธิ์ที่น้อยที่สุด (Least-Privilege Access), การสแกนรหัสลับ (Secret Scanning), และการบังคับใช้นโยบายแบบอัตโนมัติ
Dan Lorenc ซีอีโอและผู้ร่วมก่อตั้ง Chainguard กล่าวเตือนว่า: "Shai-Hulud เป็นเครื่องย้ำเตือนอีกครั้งว่า ซัพพลายเชนซอฟต์แวร์สมัยใหม่ยังคงถูกเจาะได้ง่ายเกินไป การมีผู้ดูแลที่ถูกบุกรุกเพียงคนเดียวและสคริปต์การติดตั้งที่เป็นอันตราย ก็เพียงพอที่จะส่งผลกระทบต่อโปรเจกต์ปลายทางนับพันในเวลาไม่กี่ชั่วโมง"
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก