พบมัลแวร์ Worm แพร่ผ่านแพ็กเกจ npm ของ CrowdStrike เสี่ยงกระทบ Software Supply Chain

มัลแวร์ชนิดนี้เป้นแบบ Self-Replicating Worm ที่มีชื่อว่า Shai-Hulud ซึ่งแพร่กระจายผ่านระบบนิเวศของ NPM โดยมีอย่างน้อย 187 แพ็กเกจที่ติดมัลแวร์ รวมถึง 25 แพ็กเกจของ CrowdStrike ที่ได้รับผลกระทบ เมื่อผู้พัฒนาติดตั้งแพ็กเกจที่ถูกฝังมัลแวร์ มัลแวร์จะค้นหาข้อมูลสำคัญภายในเครื่องและขโมยข้อมูลสำหรับการเข้าถึง เช่น API Tokens, Keys ของแพลตฟอร์มคลาวด์ (AWS, Azure, GCP) รวมถึง Github และ npm เพื่อใช้ขยายการโจมตีไปยังระบบอื่น ๆ

นอกจากนี้ Shai-Hulud ยังอาศัย Access Tokens ที่ขโมยมาเพื่อลุกลามไปยังแพ็กเกจอื่น ๆ ที่ผู้พัฒนารายนั้นดูแล พร้อมทั้งแทรกแซง Github Actions Workflow เพื่อดักข้อมูลระหว่างกระบวนการ CI/CD ส่งผลให้มัลแวร์สามารถฝังตัวและคงอยู่ได้แม้ผู้ใช้จะลบแพ็กเกจที่ติดเชื้อแล้วก็ตาม แม้ CrowdStrike จะเร่งลบแพ็กเกจที่เสียหายออกเพื่อลดการแพร่กระจาย แต่หากนักพัฒนายังคงใช้งานแพ็กเกจที่ถูกฝังมัลแวร์ อาจทำให้มีความเสี่ยงที่มัลแวร์จะแพร่ระบาดซ้ำก็ยังคงมีอยู่และอาจสร้างความเสียหายอย่างต่อเนื่องต่อ Software Supply Chain

ความเสี่ยงและผลกระทบ

• การรั่วไหลของ Credentials/Access Tokens (npm, GitHub, Cloud) อันอาจนำไปสู่การเข้าถึงระบบโดยไม่ได้รับอนุญาต
• การแพร่กระจายตัวเองของ Worm ไปยังแพ็กเกจอื่น ๆ ใน ecosystem สร้างความเสียหายเป็นวงกว้าง
• ความเสี่ยงต่อการถูกแก้ไขโค้ด, เปิดเผย Repository และการโจมตี Supply Chain

พฤติกรรมที่ควรเฝ้าระวัง (Indicators of Compromise / Anomalies)

• การปรากฏของสคริปต์ postinstall หรือไฟล์ bundle.js ที่ผิดปกติในแพ็กเกจ
• การเปลี่ยนแปลง Workflow ของ GitHub Actions โดยไม่ได้รับอนุญาต
• การใช้งาน Tokens โดยไม่ทราบที่มา หรือการส่งข้อมูลไปยัง Webhook แปลกปลอม

คำแนะนำ

• ตรวจสอบ Dependency การใช้งานแพ็กเกจทั้งหมด เพื่อยืนยันว่าไม่มีการใช้งานแพ็กเกจที่อยู่ในรายการติดเชื้อ
• เพิกถอนและออก Credential ใหม่ (Token/Key) ทั้งหมดที่มีความเสี่ยงต่อการรั่วไหล
• ตรวจสอบ Workflow ของ GitHub Actions เพื่อหาการแก้ไขหรือพฤติกรรมที่ผิดปกติ
• เฝ้าระวังการเข้าถึงระบบ Cloud อย่างใกล้ชิด พร้อมดำเนินมาตรการป้องกันและตอบสนองต่อความพยายามบุกรุกโดยทันที