GitHub ยืนยันถูกเจาะระบบ! แฮกเกอร์ประกาศขาย Source Code ภายในบริษัท

GitHub แพลตฟอร์มโฮสต์โค้ดรายใหญ่ที่สุดของโลก ที่มีนักพัฒนามากกว่า 100 ล้านคนใช้งาน ยืนยันว่าบริษัทถูกโจมตีทางไซเบอร์ และข้อมูลที่ถูกขโมยกำลังถูกนำไปประกาศขายบนโลกออนไลน์ โดยออกมายอมรับเหตุการณ์ดังกล่าวผ่านโพสต์บน X เมื่อวันที่ 20 พฤษภาคมที่ผ่านมา โดยระบุว่า

“เรากำลังตรวจสอบการเข้าถึง Internal Repository ของ GitHub โดยไม่ได้รับอนุญาต”

จุดเริ่มต้น มาจาก VS Code Extension อันตราย 🧩

หลังจากนั้นไม่กี่ชั่วโมง GitHub เปิดเผยรายละเอียดเพิ่มเติมว่า ผู้โจมตีสามารถเข้าถึง Repository ภายในของบริษัทได้ หลังจากเครื่องของพนักงานคนหนึ่งถูกโจมตีผ่าน Visual Studio Code Extension ที่ถูกฝังโค้ดอันตรายไว้

GitHub ระบุว่า ตรวจพบและควบคุมเหตุการณ์ได้ทันที หลังพบว่าอุปกรณ์ของพนักงานถูกโจมตีผ่าน Extension ดังกล่าว พร้อมดำเนินการลบ Extension เวอร์ชันอันตราย แยกอุปกรณ์ที่ได้รับผลกระทบ และเริ่มกระบวนการรับมือเหตุการณ์ทันที นอกจากนี้ บริษัทยังเร่งเปลี่ยน Secrets และข้อมูลสำคัญที่เกี่ยวข้อง หลังตรวจพบการบุกรุก

แฮกเกอร์ประกาศขาย Source Code บนเว็บใต้ดิน

ข้อมูลที่ถูกขโมยถูกนำไปโพสต์ขายบนฟอรัมแฮกเกอร์ชื่อดัง โดยผู้โจมตีใช้ชื่อว่า TeamPCP ที่อ้างว่า ข้อมูลที่ขโมยได้ประกอบด้วย Source Code และข้อมูลภายในองค์กรที่เกี่ยวข้องกับแพลตฟอร์มหลักของ GitHub

GitHub ระบุว่า ตัวเลข Repository ที่ผู้โจมตีอ้างว่าขโมยได้ประมาณ 3,800 Repository “สอดคล้องกับทิศทางการสืบสวนในปัจจุบัน”

ไม่เรียกค่าไถ่ แต่ต้องการ “ขายข้อมูล”

โพสต์ของ TeamPCP ระบุชัดว่า เป้าหมายหลักคือการขายข้อมูล ไม่ใช่การเรียกค่าไถ่ ผู้โจมตีระบุว่า

“นี่ไม่ใช่การเรียกค่าไถ่ เราไม่ได้สนใจจะรีดไถ GitHub ขอแค่มีผู้ซื้อหนึ่งราย เราก็จะลบข้อมูลฝั่งเรา”

พร้อมขู่ว่า หากไม่มีคนซื้อ ก็อาจปล่อยข้อมูลทั้งหมดออกฟรี

นอกจากนี้ TeamPCP ยังโพสต์รายชื่อ Repository ที่อ้างว่าถูกขโมย พร้อมตัวอย่างไฟล์ Source Code จำนวน 2 ไฟล์ เพื่อยืนยันความน่าเชื่อถือของข้อมูล

GitHub ยืนยัน ยังไม่พบผลกระทบต่อ Repository ของลูกค้า

แม้เหตุการณ์นี้จะสร้างความกังวลในวงกว้าง แต่ GitHub ระบุว่า ขณะนี้ยังไม่มีหลักฐานว่ามี Repository ของลูกค้าที่โฮสต์บนแพลตฟอร์มถูกเข้าถึง บริษัทเน้นว่า Repository ที่ได้รับผลกระทบเป็นระบบภายในของ GitHub เอง

อย่างไรก็ตาม GitHub ระบุว่า ยังคงเฝ้าติดตามโครงสร้างพื้นฐานของบริษัทอย่างใกล้ชิด เพื่อป้องกันกิจกรรมโจมตีต่อเนื่องที่อาจเกิดขึ้น

ความเสี่ยงอาจลุกลามถึง Supply Chain ของโลกซอฟต์แวร์ 🌐

แม้ข้อมูลลูกค้ายังไม่พบว่ารั่วไหล แต่เหตุการณ์นี้ถูกมองว่ามีความสำคัญสูง เพราะ GitHub ถือเป็นศูนย์กลางสำคัญของ Supply Chain ด้านซอฟต์แวร์ระดับโลก

แพลตฟอร์มดังกล่าวถูกใช้โดยนักพัฒนาและองค์กรทั่วโลกในการจัดเก็บโค้ด ระบบ Infrastructure และเครื่องมือพัฒนาต่าง ๆ

การที่ผู้โจมตีเข้าถึง Internal Repository ได้ แม้เพียงบางส่วน อาจทำให้ข้อมูลเกี่ยวกับเครื่องมือภายใน ระบบ API กระบวนการยืนยันตัวตน หรือการตั้งค่า Infrastructure หลุดออกไป และอาจถูกนำไปใช้เป็นช่องทางโจมตีเพิ่มเติมในอนาคตได้

ที่มา