แฮกเกอร์ปล่อยซอร์สโค้ดมัลแวร์ Miasma บน GitHub หวั่นถูกนำไปสร้างภัยคุกคามใหม่
มีข้อมูลว่าซอร์สโค้ดของ Miasma เฟรมเวิร์กมัลแวร์สำหรับขโมยข้อมูลรับรอง (Credentials) และโจมตีห่วงโซ่อุปทานซอฟต์แวร์ หรือ Supply Chain Attack ถูกเผยแพร่บน GitHub ชั่วคราวผ่านบัญชีนักพัฒนาที่ถูกขโมยหลายบัญชี
ทั้งนี้ Miasma เป็นมัลแวร์ที่ถูกมองว่าเป็นวิวัฒนาการต่อยอดจาก Shai-Hulud เวิร์มชื่อดังที่เคยหลุดสู่สาธารณะมาก่อน โดยใช้เทคนิคและโค้ดจำนวนมากร่วมกัน ความสามารถหลักของมันคือการแทรกซึมเข้าสู่เครื่องนักพัฒนา ขโมยข้อมูลสภาพแวดล้อมการพัฒนา ระบบ Build รวมถึงข้อมูลรับรองสำหรับเข้าถึงบริการคลาวด์ ก่อนนำข้อมูลเหล่านั้นไปยึดครองรีโปซิทอรีและแพ็กเกจซอฟต์แวร์จริง เพื่อเผยแพร่เวอร์ชันที่ฝังโค้ดอันตรายต่อไปยังนักพัฒนารายอื่น
นักวิจัยจาก SafeDep เปิดเผยว่าพบรีโปซิทอรีชื่อ “Miasma-Open-Source-Release” ปรากฏอยู่ในบัญชี GitHub ที่ถูกแฮ็กหลายบัญชี ซึ่งเป็นสัญญาณว่าผู้พัฒนามัลแวร์จงใจเผยแพร่ซอร์สโค้ดดังกล่าว มากกว่าจะเป็นการรั่วไหลโดยไม่ตั้งใจ เหตุการณ์นี้คล้ายกับกรณีของ Shai-Hulud ที่เคยถูกปล่อยออกสู่สาธารณะและนำไปสู่การพัฒนาสายพันธุ์ใหม่ที่มีความซับซ้อนมากขึ้นในเวลาต่อมา
มัลแวร์ที่ไม่ต้องมีเซิร์ฟเวอร์ควบคุม แต่ใช้ GitHub เป็นศูนย์บัญชาการ
จากการวิเคราะห์ซอร์สโค้ด นักวิจัยพบว่า Miasma ถูกออกแบบให้ทำงานโดยไม่ต้องพึ่งโครงสร้างพื้นฐาน Command-and-Control (C2) แบบดั้งเดิม แต่ใช้ GitHub เป็นช่องทางหลักสำหรับสื่อสารและส่งข้อมูลกลับไปยังผู้โจมตี
มัลแวร์สามารถขโมยข้อมูลรับรองจากผู้ให้บริการคลาวด์ ระบบ CI/CD ตัวจัดการรหัสผ่าน Kubernetes และระบบจัดเก็บความลับต่าง ๆ จากนั้นนำข้อมูลเหล่านี้ไปใช้โจมตีแพลตฟอร์มยอดนิยมอย่าง npm, PyPI, RubyGems รวมถึง GitHub Actions และ JFrog Artifactory
นอกจากนี้ยังมีความสามารถในการเคลื่อนที่ภายในเครือข่ายผ่าน SSH และ AWS Systems Manager (SSM) อีกทั้งยังสามารถแทรกแซงหรือแก้ไขการตั้งค่าของเครื่องมือเขียนโค้ดด้วย AI อย่าง Claude, Gemini, Cursor, Copilot, Kiro และ Cline ได้อีกด้วย
ความสามารถที่น่ากังวลอีกประการหนึ่งคือระบบ “Dead-Man Switch” ซึ่งจะถูกติดตั้งเมื่อมัลแวร์ใช้ GitHub Token ที่ขโมยมาเป็นช่องทางส่งข้อมูล หากโทเคนดังกล่าวถูกยกเลิกหรือเพิกถอนสิทธิ์ ระบบจะตรวจพบภายในเวลาไม่กี่นาทีและสั่งลบไฟล์ภายในเครื่องเหยื่อโดยอัตโนมัติ รวมถึงไฟล์ในโฟลเดอร์ Home และ Documents เพื่อสร้างความเสียหายเพิ่มเติม
นักวิจัยหวั่นอาชญากรนำโค้ดไปต่อยอด สร้างสายพันธุ์ใหม่
อีกหนึ่งจุดที่ทำให้ผู้เชี่ยวชาญกังวลคือกระบวนการสร้างมัลแวร์ของ Miasma ถูกออกแบบให้สร้างตัวอย่างใหม่ที่แตกต่างกันทุกครั้งที่คอมไพล์ ผ่านระบบเข้ารหัสหลายชั้น การสุ่มคีย์ และเทคนิคปกปิดโค้ดขั้นสูง ส่งผลให้เครื่องมือป้องกันที่อาศัยลายเซ็นมัลแวร์แบบดั้งเดิมตรวจจับได้ยากขึ้น
นักวิจัยเตือนว่าการเผยแพร่ซอร์สโค้ดของ Shai-Hulud ในอดีตเคยนำไปสู่การเกิดขึ้นของ Miasma และการเพิ่มขึ้นของการโจมตีซัพพลายเชนอย่างมีนัยสำคัญ ดังนั้นการที่ซอร์สโค้ด Miasma หลุดออกมาสู่สาธารณะในครั้งนี้ อาจเปิดโอกาสให้กลุ่มอาชญากรไซเบอร์รายอื่นนำโค้ดไปปรับแต่งและสร้างเวอร์ชันใหม่ที่อันตรายกว่าเดิม
เหตุการณ์ดังกล่าวสะท้อนให้เห็นว่าการโจมตีห่วงโซ่อุปทานซอฟต์แวร์กำลังกลายเป็นหนึ่งในภัยคุกคามสำคัญที่สุดของวงการโอเพ่นซอร์สในปัจจุบัน โดยนักพัฒนาควรเพิ่มความระมัดระวังในการอัปเดตแพ็กเกจ ตรวจสอบแหล่งที่มาของซอฟต์แวร์ และทดสอบเวอร์ชันใหม่ในสภาพแวดล้อมที่แยกจากระบบจริงก่อนนำไปใช้งานเสมอ