แพ็กเกจ npm ของ SAP ถูกฝังมัลแวร์ กลายเป็นช่องทางโจมตีนักพัฒนา
แพ็กเกจ npm อย่างเป็นทางการของ SAP กลายเป็นช่องทางโจมตีครั้งใหม่ หลังถูกแฮกเกอร์แทรกโค้ดอันตรายเพื่อขโมยข้อมูลสำคัญจากเครื่องนักพัฒนาและระบบ CI/CD ในลักษณะของ supply chain attack ซึ่งกำลังกลายเป็นภัยคุกคามหลักของวงการโอเพ่นซอร์ส
ฝังมัลแวร์ในแพ็กเกจทางการ ล้วงข้อมูลตั้งแต่ติดตั้ง
รายงานระบุว่า มีแพ็กเกจ npm ของ SAP อย่างน้อย 4 รายการถูกแทรกโค้ดอันตราย โดยเวอร์ชันที่มีปัญหาได้ถูกนำออกจากระบบแล้วในภายหลัง
มัลแวร์ที่ฝังอยู่ภายในถูกออกแบบมาเพื่อขโมยข้อมูลสำคัญจากเครื่องของนักพัฒนาโดยตรง เช่น
- token สำหรับ npm และ GitHub
- SSH keys และ credentials ต่างๆ
- ข้อมูล cloud จาก AWS, Azure และ Google Cloud
- Kubernetes secrets และ config
- รวมถึงข้อมูลลับใน CI/CD pipeline
ที่น่ากังวลคือ มัลแวร์ยังสามารถดึงข้อมูลจากหน่วยความจำของ CI runner ได้โดยตรง ซึ่งเป็นเทคนิคที่ซับซ้อนและเคยถูกใช้ใน supply chain attack ก่อนหน้านี้
แคมเปญ TeamPCP โจมตีซ้ำ โครงสร้างเดิมที่ยังใช้ได้ผล
การโจมตีครั้งนี้เชื่อว่าเกี่ยวข้องกับกลุ่ม TeamPCP ซึ่งเคยก่อเหตุในลักษณะคล้ายกันมาก่อน โดยใช้วิธีแทรกโค้ดอันตรายในแพ็กเกจยอดนิยมเพื่อกระจายมัลแวร์ไปยังนักพัฒนาและองค์กร
ลักษณะของการโจมตีคือ เมื่อมีการติดตั้งแพ็กเกจที่ถูกฝังโค้ด มัลแวร์จะเริ่มทำงานทันทีโดยไม่ต้องรอการรันโปรแกรม ทำให้สามารถขโมยข้อมูลสำคัญได้ตั้งแต่ขั้นตอน build หรือ deploy
นักพัฒนาและองค์กรที่ใช้งานแพ็กเกจที่ได้รับผลกระทบ ควรรีบตรวจสอบระบบทันที และเปลี่ยน credentials ทั้งหมด เนื่องจากมีความเสี่ยงสูงที่ข้อมูลจะถูกเข้าถึงไปแล้ว