เมื่อ GitHub ถูกใช้เป็นเครื่องมือสอดแนมทางไซเบอร์

GitHub แพลตฟอร์มยอดนิยมสำหรับนักพัฒนาและองค์กรซอฟต์แวร์ทั่วโลก ปกติถูกมองว่าเป็นพื้นที่ปลอดภัยและน่าเชื่อถือสำหรับการจัดเก็บโค้ดและทำงานร่วมกัน แต่ล่าสุดกลับถูกเปิดเผยว่า ถูกนำไปใช้เป็น ช่องทางสอดแนมทางไซเบอร์ โดยกลุ่มแฮกเกอร์ที่เชื่อมโยงกับรัฐบาลเกาหลีเหนือ

รายงานจากผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ระบุว่า กลุ่ม Kimsuky (หรือ APT43) ได้ใช้ GitHub รวมถึงบริการคลาวด์ยอดนิยมอย่าง Dropbox และ Daum Cloud เป็นกลไก Command-and-Control (C2) เพื่อซ่อนกิจกรรมการโจมตี โดยเป้าหมายหลักคือ ภารกิจทูตและกระทรวงการต่างประเทศของเกาหลีใต้ ระหว่างเดือนมีนาคมถึงกรกฎาคม 2025

วิธีการโจมตีที่แนบเนียน

แคมเปญโจมตีนี้ใช้ อีเมลฟิชชิงแบบเจาะจงเป้าหมาย (Spear-phishing) โดยส่งจดหมายปลอมหรือคำเชิญการประชุมจากบุคคลที่ดูน่าเชื่อถือ ภายในแนบไฟล์ ZIP ที่ประกอบด้วยไฟล์ LNK ปลอมเลียนแบบไฟล์ PDF เมื่อเหยื่อเปิดใช้งาน ไฟล์จะรัน PowerShell ดึงโมดูลจาก GitHub เปิดเอกสาร decoy ให้ผู้ใช้เข้าใจว่าเป็นไฟล์จริง ขณะเดียวกันก็ติดตั้งมัลแวร์ XenoRAT เพื่อควบคุมระบบคอมพิวเตอร์ของเป้าหมาย

GitHub repository ที่ถูกใช้มักตั้งชื่อเรียบง่าย เช่น europa หรือ themorning และใช้ไฟล์ text อย่าง onf.txt เป็นช่องทางอัปเดตคำสั่งโจมตีได้ทันที สร้างความยากลำบากต่อการตรวจจับ

เบาะแสชี้ความเชื่อมโยง

การวิเคราะห์พฤติกรรมการทำงานพบว่า เวลาปฏิบัติการของผู้โจมตีสอดคล้องกับโซนเวลาประเทศจีน และหยุดตรงกับวันหยุดราชการจีน แต่ไม่ตรงกับวันหยุดของเกาหลีเหนือหรือเกาหลีใต้ ซึ่งทำให้เกิดข้อสงสัยว่าการโจมตีอาจถูกดำเนินการจากจีน หรือมีความร่วมมือกันในบางรูปแบบ

การค้นพบครั้งนี้ตอกย้ำว่า โลกไซเบอร์ในปัจจุบันไม่มีพื้นที่ใดที่ปลอดภัย 100% แม้แต่แพลตฟอร์มที่องค์กรทั่วโลกใช้ทำงานร่วมกันทุกวันอย่าง GitHub ก็สามารถถูกดัดแปลงให้กลายเป็นเครื่องมือสอดแนมได้ หากไม่มีการตรวจสอบและป้องกันอย่างเข้มงวด

ที่มา