เตือนภัย! มัลแวร์ "Mini Shai-Hulud" บุกถล่ม npm Packages สาย SAP
เหล่านักวิจัยด้านความปลอดภัยทางไซเบอร์จากหลายสำนัก ทั้ง Wiz, Socket และ Google ออกมาประสานเสียงเตือนว่า พบการโจมตีแบบ Supply Chain Attack ครั้งใหม่ที่พุ่งเป้าไปที่กลุ่มผู้ใช้งาน SAP ecosystem โดยคนร้ายได้ฝังมัลแวร์ขโมยข้อมูลลงในแพ็กเกจยอดนิยมบน npm ครับ
แพ็กเกจที่โดนแจ็คพอต (เวอร์ชันอันตราย)
หากใครใช้เวอร์ชันเหล่านี้อยู่ ให้รีบตรวจสอบด่วนครับ:
- mbt @1.2.48
- @cap-js/db-service @2.10.1
- @cap-js/postgres @2.2.2
- @cap-js/sqlite @2.2.2
มันทำงานยังไง? (แบบเข้าใจง่ายๆ)
- แอบติดตั้ง: เมื่อเราสั่งติดตั้งแพ็กเกจเหล่านี้ มัลแวร์จะรันสคริปต์ "Preinstall" ทันที เพื่อแอบดาวน์โหลดตัวรันไทม์ที่ชื่อว่า Bun มาไว้ในเครื่อง
- ขโมยเรียบ: พอมันรันได้แล้ว มันจะกวาดข้อมูลสำคัญทุกอย่าง ทั้ง GitHub Token, npm Token, รหัสผ่าน Cloud (AWS, Azure, GCP) รวมถึงความลับใน Kubernetes
- ฝังตัวแนบเนียน: ความแสบคือมันจะสร้าง Repository ใน GitHub ของเหยื่อเอง แล้วตั้งชื่อว่า "A Mini Shai-Hulud has Appeared" เพื่อใช้เป็นที่เก็บข้อมูลที่ขโมยมา (ตอนนี้พบแล้วกว่า 1,100 แห่ง!)
- ใช้ AI เป็นเครื่องมือ: นี่คือครั้งแรกๆ เลยครับที่มัลแวร์พุ่งเป้าไปที่ AI Coding Agent อย่าง Claude Code โดยการฝังไฟล์ตั้งค่าแสบๆ ไว้ ถ้าใครเปิดโปรเจกต์ด้วย VS Code หรือใช้ Claude Code มัลแวร์ก็จะทำงานทันที!
สาเหตุเกิดจากอะไร?
คนร้ายไม่ได้แฮกตัวระบบตรงๆ แต่ใช้วิธี ขโมยบัญชีผู้ดูแล (Maintainer) และอาศัยช่องโหว่ในการตั้งค่าสิทธิ์ (OIDC) ของ GitHub Actions ทำให้สามารถส่งแพ็กเกจปลอมที่ดูเหมือนของจริงขึ้นไปบน Store ได้โดยไม่ต้องตรวจสอบเข้มงวดนัก
วิธีแก้ไขและป้องกัน
ทางทีมงาน SAP ได้รีบออกเวอร์ชันใหม่ที่ ปลอดภัย มาให้เปลี่ยนแล้วครับ:
- sqlite: v2.4.0 หรือ v2.3.0 (ตัวล่าสุด)
- postgres: v2.3.0
- hana: v2.8.0
- db-service: v2.10.1
- mbt: v1.2.49
ใครเป็น Developer สายนี้ รีบเช็คไฟล์ package.json และ package-lock.json ของตัวเองด่วน ถ้าเจอเวอร์ชันที่ติดปัญหา ให้รีบ Update และเปลี่ยน Password/Token ทุกอย่างทันทีนะครับ!
โลกไอทีหมุนไว ภัยร้ายก็มาแรง ระวังกันด้วยนะครับ
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก