Axios โดนเจาะระบบ! แฮกเกอร์เกาหลีเหนือฝังมัลแวร์ ปล่อย RAT แอบคุมเครื่องได้จากระยะไกล เจาะได้ทั้ง Windows-Mac-Linux

เหตุการณ์การโจมตีผ่านห่วงโซ่ซอฟต์แวร์ครั้งใหม่สั่นสะเทือนวงการซอฟต์แวร์เปิดเผยโค้ด เมื่อแฮกเกอร์ที่ต้องสงสัยว่ามีความเชื่อมโยงกับเกาหลีเหนือสามารถยึดบัญชีผู้ดูแล Axios ซึ่งเป็นชุดคำสั่งภาษา JavaScript ที่นักพัฒนาทั่วโลกใช้งานกันอย่างแพร่หลาย แล้วแทรกโค้ดอันตรายเข้าไปในเวอร์ชันอัปเดตที่ถูกเผยแพร่ผ่าน npm

สำหรับคนที่ไม่คุ้นชื่อ Axios คือเครื่องมือพื้นฐานที่นักพัฒนาใช้เพื่อให้ซอฟต์แวร์สามารถเชื่อมต่อกับอินเทอร์เน็ตได้ มียอดดาวน์โหลดหลายสิบล้านครั้งต่อสัปดาห์ พูดง่าย ๆ คือถ้าชุดเครื่องมือตัวนี้ถูกปลอมแปลง ผลกระทบจะกระจายไปในวงกว้างมาก

เกิดอะไรขึ้น

เมื่อวันจันทร์ที่ผ่านมา แฮกเกอร์สามารถเข้าถึงบัญชีของนักพัฒนาหลักคนหนึ่งของโปรเจกต์ Axios ซึ่งมีสิทธิ์ส่งอัปเดตได้โดยตรง จากนั้นก็เปลี่ยนอีเมลของเจ้าของบัญชีเป็นของตัวเอง ทำให้นักพัฒนาตัวจริงกู้คืนบัญชีได้ยากขึ้น

เมื่อยึดบัญชีได้แล้ว แฮกเกอร์ก็ฝังโค้ดอันตรายที่ออกแบบมาเพื่อติดตั้ง 'โทรจันควบคุมระยะไกล' ซึ่งเป็นมัลแวร์ที่ให้แฮกเกอร์ควบคุมเครื่องของเหยื่อได้จากระยะไกลอย่างเต็มรูปแบบ โดยปล่อยอัปเดตปลอมออกมาครอบคลุมทั้งระบบปฏิบัติการ Windows, macOS และ Linux

ที่น่าสนใจคือมัลแวร์ตัวนี้ถูกออกแบบมาให้ลบตัวเองหลังติดตั้งเสร็จ เพื่อหลบเลี่ยงการตรวจจับจากระบบป้องกันมัลแวร์และนักวิจัยด้านความปลอดภัย

บริษัทด้านความปลอดภัยไซเบอร์ StepSecurity ซึ่งเป็นผู้วิเคราะห์การโจมตีครั้งนี้ ระบุว่าสามารถตรวจพบและหยุดยั้งเหตุการณ์ได้ภายในราว 3 ชั่วโมง ขณะที่ Aikido อีกบริษัทที่ร่วมสืบสวน แนะนำตรง ๆ ว่าใครก็ตามที่ดาวน์โหลดเวอร์ชันดังกล่าวไป 'ควรถือว่าระบบของตัวเองถูกเจาะแล้ว'

เกาหลีเหนืออยู่เบื้องหลัง

Google ยืนยันกับ TechCrunch ว่านักวิจัยด้านความปลอดภัยของบริษัทเชื่อมโยงเหตุการณ์นี้กับกลุ่มแฮกเกอร์เกาหลีเหนือ

John Hultquist หัวหน้านักวิเคราะห์ของกลุ่มข่าวกรองภัยคุกคามของ Google ระบุว่าการโจมตีครั้งนี้เป็นฝีมือของกลุ่มที่ Google ติดตามในชื่อ UNC1069 โดยชี้ว่าแฮกเกอร์เกาหลีเหนือมีประสบการณ์ยาวนานกับการโจมตีผ่านห่วงโซ่ซอฟต์แวร์ ซึ่งในอดีตมักใช้เพื่อขโมยสกุลเงินดิจิทัล และด้วยความนิยมของ Axios คาดว่าผลกระทบจะกว้างขวางมาก

ภาพใหญ่ที่น่ากังวล

เหตุการณ์นี้ไม่ใช่ครั้งแรกที่โลกซอฟต์แวร์เปิดเผยโค้ดตกเป็นเป้าของการโจมตีผ่านห่วงโซ่ซอฟต์แวร์ ซึ่งเป็นรูปแบบที่แฮกเกอร์เจาะเข้าไปในเครื่องมือพัฒนาเพื่อกระจายมัลแวร์ไปยังผู้ใช้ปลายทาง ในช่วงหลายปีที่ผ่านมา เราเห็นกรณีคล้ายกันเกิดขึ้นกับ SolarWinds, Kaseya, 3CX รวมถึงเครื่องมือโอเพนซอร์สอย่าง Log4j และ Polyfill.io

สิ่งที่ทำให้รูปแบบการโจมตีแบบนี้อันตรายเป็นพิเศษคือ แฮกเกอร์ไม่จำเป็นต้องเจาะเป้าหมายทีละราย แค่ฝังโค้ดอันตรายลงในเครื่องมือที่คนใช้กันทั้งอุตสาหกรรม ก็สามารถเข้าถึงเครื่องของนักพัฒนาจำนวนมหาศาลได้ในคราวเดียว

สำหรับนักพัฒนาที่ใช้ Axios ควรตรวจสอบเวอร์ชันที่ติดตั้งอยู่ในโปรเจกต์ของตัวเองโดยเร็ว และติดตามประกาศอย่างเป็นทางการจากทีมผู้ดูแลอย่างใกล้ชิด

ที่มา: TechCrunch

ลงทะเบียนเข้าสู่ระบบ เพื่ออ่านบทความฟรีไม่จำกัด

No comment

RELATED ARTICLE

Responsive image

ผู้นำที่เก่งที่สุดไม่ได้เริ่มจากกลยุทธ์ แต่เริ่มจากสิ่งที่ Michelle Obama เรียกว่า 'ความดีที่มีอยู่แล้ว' ในทีม

Michelle Obama กล่าวสุนทรพจน์ในพิธีเปิด Obama Presidential Center ที่คอลัมนิสต์ Inc. ยกให้เป็นบทเรียนผู้นำแห่งปี ชวนผู้นำมองเห็นความดีของคนก่อนผลประโยชน์ พร้อม 4 ขั้นตอนนำทีมด้วยคว...

Responsive image

EV ฝั่งจีนขึ้นแท่นรถที่คนใช้งานสั้นกว่าโทรศัพท์ คนจีนใช้รถเฉลี่ยแค่ 1.8 ปีก็เปลี่ยน

คนจีนถึงเปลี่ยนรถ EV ไวกว่าสมาร์ตโฟน ด้วยอายุเฉลี่ยบนท้องถนนเพียง 1.8 ปี เจาะลึก 3 เหตุผลหลัก ทั้งเทคโนโลยีที่ไปไว ราคาขายต่อที่ตกแรง และพฤติกรรมผู้บริโภคยุคใหม่ที่เน้นความอัจฉริยะ...

Responsive image

กดปุ่มเดียว บ้านหายทั้งหลัง! HiberTec บ้านไฮดรอลิก มุดลงห้องนิรภัยใต้ดินใน 15 นาที หนีไฟป่าและทอร์นาโดได้ทันที

รู้จัก HiberTec Homes บ้านไฮดรอลิกจากสหรัฐฯ ที่มุดลงห้องนิรภัยใต้ดินได้ทั้งหลังใน 15 นาที สั่งงานผ่านแอป ตัดไฟ น้ำ แก๊ส อัตโนมัติ ทนความร้อนถึง 1,090 องศาเซลเซียส ทางเลือกใหม่ของบ้...