S1ngularity มัลแวร์ขั้นสูงใช้ AI ขโมยข้อมูลนักพัฒนากว่า 2,180 บัญชีบน GitHub

เมื่อวันที่ 26 สิงหาคม 2025 เกิดเหตุโจมตีซัพพลายเชนครั้งใหญ่ที่สร้างความตื่นตระหนกให้กับชุมชนนักพัฒนาและองค์กรด้านเทคโนโลยีทั่วโลก มัลแวร์ชื่อ “S1ngularity” ได้แทรกซึมเข้าสู่แพ็กเกจซอฟต์แวร์ Nx ใน NPM และแพร่กระจายผ่าน GitHub อย่างรวดเร็ว โดยใช้ AI ในการค้นหาและขโมยข้อมูลจำนวนมาก

เหตุการณ์นี้ทำให้บัญชี GitHub มากกว่า 2,180 บัญชีและรีโปสิโตรีกว่า 7,200 แห่งได้รับผลกระทบอย่างรุนแรง ข้อมูลสำคัญอย่างโทเคน API, คีย์ SSH, ไฟล์การตั้งค่าสภาพแวดล้อมการทำงาน รวมไปถึงข้อมูลกระเป๋าเงินดิจิทัลถูกดึงออกจากระบบโดยที่เจ้าของบัญชีไม่รู้ตัว

การโจมตีและกลไกของมัลแวร์

มัลแวร์ S1ngularity ถูกฝังอยู่ในไฟล์ post-install ชื่อว่า “telemetry.js” ซึ่งถูกติดตั้งโดยอัตโนมัติเมื่อนักพัฒนาดาวน์โหลดและติดตั้งแพ็กเกจ Nx เวอร์ชันที่ถูกแฮ็ก ผู้โจมตีได้ใช้ช่องโหว่ในระบบ GitHub Actions workflow ของโครงการ Nx เป็นช่องทางเผยแพร่มัลแวร์ให้แพร่กระจายต่อไป การโจมตีครั้งนี้มีจุดเด่นตรงที่ใช้เครื่องมือ AI CLI อย่าง Claude, Gemini และ Q ในการสแกนโค้ดและระบบเพื่อค้นหาข้อมูลลับ โดยรันคำสั่งด้วยพารามิเตอร์ที่มีความเสี่ยงสูงอย่าง “–dangerously-skip-permissions” และ “–trust-all-tools” ซึ่งทำให้ AI ถูกใช้เป็นอาวุธในการโจมตีซัพพลายเชนในระดับที่ไม่เคยปรากฏมาก่อน

ผลกระทบและความเสียหายที่เกิดขึ้น

ผลกระทบของการโจมตีครั้งนี้กว้างขวางและรุนแรง บริษัท Wiz รายงานว่าข้อมูลลับจากหลายพันบัญชียังคงใช้งานได้และอาจถูกนำไปใช้ต่อยอดการโจมตีอื่น ๆ นอกจากนี้ยังมีการเปิดเผยข้อมูลสำคัญบนรีโปสิโตรีสาธารณะจำนวนมาก ซึ่งเพิ่มความเสี่ยงให้กับองค์กรและนักพัฒนา

GitHub ได้เร่งดำเนินการแก้ไขและระงับรีโปสิโตรีที่สร้างขึ้นโดยแฮกเกอร์ในวันที่ 27 สิงหาคม 2025 แต่เนื่องจากข้อมูลเหล่านี้ถูกเปิดเผยต่อสาธารณะเป็นเวลามากกว่าแปดชั่วโมงก่อนถูกปิดกั้น ทำให้ความเสียหายขยายวงกว้างเกินควบคุม นักวิเคราะห์หลายฝ่ายระบุว่านี่เป็นหนึ่งในเหตุการณ์โจมตีซัพพลายเชนที่ซับซ้อนและมีผลกระทบมากที่สุดแห่งปี เนื่องจากเกี่ยวข้องกับเครื่องมือที่นักพัฒนาจำนวนมหาศาลใช้งานในชีวิตประจำวัน

แนวทางป้องกันและบทเรียนสำคัญ

นักวิจัยด้านความปลอดภัยไซเบอร์จากหลายองค์กรรวมถึง Kaspersky และ The Hacker News แนะนำให้นักพัฒนาและองค์กรตรวจสอบการใช้งานแพ็กเกจ Nx และโครงสร้างซัพพลายเชนของตนอย่างละเอียด ควรรีเซ็ตโทเคนทั้งหมดที่อาจรั่วไหล ไม่ว่าจะเป็นโทเคน GitHub, npm หรือข้อมูลอื่น ๆ ที่เกี่ยวข้อง

พร้อมตรวจสอบบัญชี GitHub ว่ามีรีโปสิโตรีที่สร้างโดยผู้โจมตีหรือไม่ รวมถึงดาวน์โหลดไฟล์ “results.b64” หากยังคงมีอยู่ในระบบเพื่อตรวจสอบหลักฐานการโจมตี

นอกจากนี้นักพัฒนาจำเป็นต้องยกระดับมาตรการรักษาความปลอดภัย โดยเปิดใช้งานการยืนยันตัวตนหลายชั้น (MFA) และกำหนดนโยบายเข้มงวดสำหรับการเผยแพร่แพ็กเกจ รวมถึงเฝ้าระวังการใช้งานคำสั่ง AI CLI ที่มีพารามิเตอร์เสี่ยงสูง

ที่มา