ฝันร้ายของ Supply Chain: เมื่อเครื่องมือรักษาความปลอดภัยกลายเป็นภัยซะเอง

ข่าวด่วนในแวดวงความปลอดภัยไซเบอร์มาฝากกันครับ เป็นเรื่องที่คนทำสาย Dev หรือสาย Cloud ต้องเงี่ยหูฟังให้ดี เพราะตอนนี้กลุ่มแฮกเกอร์ที่ชื่อว่า "TeamPCP" กำลังอาละวาดหนัก ล่าสุดเพิ่งเจาะระบบของ Checkmarx บริษัทด้านความปลอดภัยชื่อดังไปหมาดๆครับ

จำเหตุการณ์ที่เครื่องมือสแกนช่องโหว่อย่าง Trivy (Aqua Security) โดนแฮกเมื่อไม่กี่วันก่อน (19 มีนาคม 2026) ได้ไหมครับ? ล่าสุดกลุ่ม TeamPCP เจ้าเดิมได้ใช้ข้อมูลที่ขโมยมาได้จากเคสนั้น ขยายผลมาเจาะ GitHub Actions ของ Checkmarx ต่อทันที โดยตัวที่โดนไปเต็มๆ คือ

1. checkmarx/ast-github-action
2. checkmarx/kics-github-action

แผนการที่แยบยล "เลียนแบบให้เหมือนที่สุด"

สิ่งที่น่ากลัวคือแฮกเกอร์ใช้วิธีที่เรียกว่า Typosquatting หรือการจดโดเมนให้คล้ายกับของจริงครับ พวกเขาตั้ง Server รับข้อมูลขโมยไว้ที่ checkmarx[.] zone ซึ่งถ้าดูผ่านๆ ใน Log ของระบบ CI/CD นักวิเคราะห์แทบจะแยกไม่ออกเลยว่านี่คือโดเมนปลอม เพราะมันดูเหมือนเป็นของ Checkmarx เอง ทำให้การตรวจจับด้วยตาเปล่าๆนั้นยากมาก

ตัวขโมยข้อมูล "TeamPCP Cloud Stealer" ทำอะไรได้บ้าง?

เจ้ามัลแวร์ตัวนี้ถูกออกแบบมาเพื่อกวาดทุกอย่างที่ขวางหน้าในเครื่อง Runner ครับ ไม่ว่าจะเป็น

• Credentials: SSH keys, Git, AWS, Google Cloud, Azure
• Secrets: ไฟล์ .env, รหัสผ่านฐานข้อมูล, VPN
• Communication: ข้อมูลกระเป๋าเงินคริปโต ไปจนถึง Webhook ของ Slack และ Discord
• Backup Plan: ถ้าส่งข้อมูลกลับ Server หลักไม่ได้ มันจะสร้าง Repository ลับๆ ใน GitHub ของเหยื่อชื่อ docs-tpcp เพื่อใช้เป็นที่พักข้อมูลแทน 

กระทบไปถึง VS Code Extensions ด้วย

นอกจาก GitHub Actions แล้ว แฮกเกอร์ยังส่งเวอร์ชันฝังมัลแวร์ (Trojanized) ของ Extension บน Open VSX (สำหรับ VS Code) ออกมาด้วย คือ

• ast-results (v2.53.0)
• cx-dev-assist (v1.7.0)
• หมายเหตุ: บน VS Code Marketplace ปกติไม่ได้รับผลกระทบนะครับ

มีลูกเล่นกวนๆ ด้วยนะ คือมัลแวร์ตัวนี้จะเช็คสถานะตัวเองทุก 50 นาที ถ้ามันไปเช็คลิงก์แล้วเจอคำว่า "youtube" มันจะหยุดทำงานทันที ซึ่งปัจจุบันลิงก์นั้นถูก Redirect ไปที่เพลง "The Show Must Go On" ของวง Queen ครับ

วิธีป้องกันและรับมือ 

หากคุณหรือองค์กรมีการใช้งานเครื่องมือเหล่านี้ ผมแนะนำให้รีบจัดการตามนี้ครับ

1. Rotate Secrets: เปลี่ยนรหัสผ่าน, Token และ Key ทุกอย่างที่เคยผ่านระบบ CI/CD ในช่วงที่ผ่านมา
2. Check Logs: ตรวจสอบ Log ใน GitHub Actions ว่ามีการเรียกไปที่ checkmarx[.]zone หรือไฟล์ tpcp.tar.gz หรือไม่
3. Search Repos: ค้นหา Repository แปลกๆ ในองค์กรที่ชื่อ tpcp-docs หรือ docs-tpcp 
4. Pin Commit SHA: เลิกใช้ Version Tag (เช่น @v1) ใน GitHub Actions แล้วเปลี่ยนไปใช้ Full Commit SHA แทน เพื่อป้องกันการโดน Force-push โค้ดอันตรายสวมรอย
5. Update Extensions: สำหรับใครที่ใช้ VS Code Extension จาก Open VSX ให้รีบอัปเดตเป็นเวอร์ชันล่าสุดที่ Checkmarx เพิ่งปล่อยออกมาแก้ไขครับ

เรื่องความปลอดภัยใน Supply Chain เป็นเรื่องใกล้ตัวอว่าที่คิดครับ แค่เครื่องมือตัวเดียวโดนเจาะ อาจลามไปถึงโครงสร้าง Cloud ทั้งระบบได้เลย หมั่นตรวจสอลและอัปเดตระบบกันด้วยนะครับ

#DRKRIT drkrit.com #กระแสไอที #ข่าวไอที #ไทยสมาร์ทซิตี้