Axios โดนเจาะระบบ! แฮกเกอร์เกาหลีเหนือฝังมัลแวร์ ปล่อย RAT แอบคุมเครื่องได้จากระยะไกล เจาะได้ทั้ง Windows-Mac-Linux

เหตุการณ์การโจมตีผ่านห่วงโซ่ซอฟต์แวร์ครั้งใหม่สั่นสะเทือนวงการซอฟต์แวร์เปิดเผยโค้ด เมื่อแฮกเกอร์ที่ต้องสงสัยว่ามีความเชื่อมโยงกับเกาหลีเหนือสามารถยึดบัญชีผู้ดูแล Axios ซึ่งเป็นชุดคำสั่งภาษา JavaScript ที่นักพัฒนาทั่วโลกใช้งานกันอย่างแพร่หลาย แล้วแทรกโค้ดอันตรายเข้าไปในเวอร์ชันอัปเดตที่ถูกเผยแพร่ผ่าน npm

สำหรับคนที่ไม่คุ้นชื่อ Axios คือเครื่องมือพื้นฐานที่นักพัฒนาใช้เพื่อให้ซอฟต์แวร์สามารถเชื่อมต่อกับอินเทอร์เน็ตได้ มียอดดาวน์โหลดหลายสิบล้านครั้งต่อสัปดาห์ พูดง่าย ๆ คือถ้าชุดเครื่องมือตัวนี้ถูกปลอมแปลง ผลกระทบจะกระจายไปในวงกว้างมาก

เกิดอะไรขึ้น

เมื่อวันจันทร์ที่ผ่านมา แฮกเกอร์สามารถเข้าถึงบัญชีของนักพัฒนาหลักคนหนึ่งของโปรเจกต์ Axios ซึ่งมีสิทธิ์ส่งอัปเดตได้โดยตรง จากนั้นก็เปลี่ยนอีเมลของเจ้าของบัญชีเป็นของตัวเอง ทำให้นักพัฒนาตัวจริงกู้คืนบัญชีได้ยากขึ้น

เมื่อยึดบัญชีได้แล้ว แฮกเกอร์ก็ฝังโค้ดอันตรายที่ออกแบบมาเพื่อติดตั้ง 'โทรจันควบคุมระยะไกล' ซึ่งเป็นมัลแวร์ที่ให้แฮกเกอร์ควบคุมเครื่องของเหยื่อได้จากระยะไกลอย่างเต็มรูปแบบ โดยปล่อยอัปเดตปลอมออกมาครอบคลุมทั้งระบบปฏิบัติการ Windows, macOS และ Linux

ที่น่าสนใจคือมัลแวร์ตัวนี้ถูกออกแบบมาให้ลบตัวเองหลังติดตั้งเสร็จ เพื่อหลบเลี่ยงการตรวจจับจากระบบป้องกันมัลแวร์และนักวิจัยด้านความปลอดภัย

บริษัทด้านความปลอดภัยไซเบอร์ StepSecurity ซึ่งเป็นผู้วิเคราะห์การโจมตีครั้งนี้ ระบุว่าสามารถตรวจพบและหยุดยั้งเหตุการณ์ได้ภายในราว 3 ชั่วโมง ขณะที่ Aikido อีกบริษัทที่ร่วมสืบสวน แนะนำตรง ๆ ว่าใครก็ตามที่ดาวน์โหลดเวอร์ชันดังกล่าวไป 'ควรถือว่าระบบของตัวเองถูกเจาะแล้ว'

เกาหลีเหนืออยู่เบื้องหลัง

Google ยืนยันกับ TechCrunch ว่านักวิจัยด้านความปลอดภัยของบริษัทเชื่อมโยงเหตุการณ์นี้กับกลุ่มแฮกเกอร์เกาหลีเหนือ

John Hultquist หัวหน้านักวิเคราะห์ของกลุ่มข่าวกรองภัยคุกคามของ Google ระบุว่าการโจมตีครั้งนี้เป็นฝีมือของกลุ่มที่ Google ติดตามในชื่อ UNC1069 โดยชี้ว่าแฮกเกอร์เกาหลีเหนือมีประสบการณ์ยาวนานกับการโจมตีผ่านห่วงโซ่ซอฟต์แวร์ ซึ่งในอดีตมักใช้เพื่อขโมยสกุลเงินดิจิทัล และด้วยความนิยมของ Axios คาดว่าผลกระทบจะกว้างขวางมาก

ภาพใหญ่ที่น่ากังวล

เหตุการณ์นี้ไม่ใช่ครั้งแรกที่โลกซอฟต์แวร์เปิดเผยโค้ดตกเป็นเป้าของการโจมตีผ่านห่วงโซ่ซอฟต์แวร์ ซึ่งเป็นรูปแบบที่แฮกเกอร์เจาะเข้าไปในเครื่องมือพัฒนาเพื่อกระจายมัลแวร์ไปยังผู้ใช้ปลายทาง ในช่วงหลายปีที่ผ่านมา เราเห็นกรณีคล้ายกันเกิดขึ้นกับ SolarWinds, Kaseya, 3CX รวมถึงเครื่องมือโอเพนซอร์สอย่าง Log4j และ Polyfill.io

สิ่งที่ทำให้รูปแบบการโจมตีแบบนี้อันตรายเป็นพิเศษคือ แฮกเกอร์ไม่จำเป็นต้องเจาะเป้าหมายทีละราย แค่ฝังโค้ดอันตรายลงในเครื่องมือที่คนใช้กันทั้งอุตสาหกรรม ก็สามารถเข้าถึงเครื่องของนักพัฒนาจำนวนมหาศาลได้ในคราวเดียว

สำหรับนักพัฒนาที่ใช้ Axios ควรตรวจสอบเวอร์ชันที่ติดตั้งอยู่ในโปรเจกต์ของตัวเองโดยเร็ว และติดตามประกาศอย่างเป็นทางการจากทีมผู้ดูแลอย่างใกล้ชิด

ที่มา: TechCrunch