GitHub ปิดเครื่องมือพัฒนาโอเพ่นซอร์สของ Microsoft สงสัยเชื่อมโยงมัลแวร์ Miasma

เกิดเหตุการณ์ที่สร้างความตกตะลึงให้กับวงการพัฒนาซอฟต์แวร์ทั่วโลก เมื่อ GitHub สั่งปิดการเข้าถึงรีโปซิทอรี (Repository) ของ Microsoft พร้อมกันถึง 73 รีโป ภายในเวลาเพียง 105 วินาที โดยครอบคลุมหลายโครงการสำคัญของ Azure, Azure Functions, Durable Task และตัวอย่างแอปพลิเคชันด้าน AI จำนวนมาก

ผู้ที่พยายามเข้าถึงรีโปเหล่านี้จะพบข้อความจาก GitHub ระบุว่า “This repository has been disabled” หรือ “รีโปนี้ถูกปิดการเข้าถึง” เนื่องจากละเมิดข้อกำหนดการใช้งานของแพลตฟอร์ม

ความผิดปกติไม่ได้อยู่ที่การปิดรีโปเพียงไม่กี่รายการ แต่เป็นการปิดพร้อมกันในระดับองค์กร โดยข้อมูลระบุว่าการดำเนินการทั้งหมดเกิดขึ้นระหว่างเวลา 16:00:50 ถึง 16:02:35 UTC ของวันที่ 5 มิถุนายนที่ผ่านมา ซึ่งเป็นช่วงเวลาเพียง 105 วินาทีเท่านั้น

ลักษณะดังกล่าวทำให้หลายฝ่ายเชื่อว่านี่ไม่ใช่การดำเนินการด้วยเจ้าหน้าที่มนุษย์ แต่เป็นระบบตรวจจับการละเมิดอัตโนมัติของ GitHub ที่ตัดสินใจปิดรีโปจำนวนมากพร้อมกัน.

Azure Functions และ Durable Task ได้รับผลกระทบหนัก

กลุ่มที่ได้รับผลกระทบมากที่สุดคือองค์กร Azure บน GitHub ซึ่งมีรีโปถูกปิดถึง 49 รายการ ครอบคลุมโครงการสำคัญเกือบทั้งหมดของ Azure Functions

ทั้ง Runtime หลัก เครื่องมือพัฒนา ไลบรารีสำหรับภาษา Node.js, Python, Java, .NET, Go และ PowerShell รวมถึงแพ็กเกจเสริมต่าง ๆ ถูกปิดการเข้าถึงทั้งหมด นอกจากนี้ยังรวมถึง GitHub Actions สำคัญอย่าง functions-action และ functions-container-action ซึ่งถูกใช้งานในกระบวนการ CI/CD ของนักพัฒนาทั่วโลก

ผลกระทบที่เกิดขึ้นจึงไม่ได้จำกัดอยู่แค่การเข้าถึงซอร์สโค้ด แต่ส่งผลให้ระบบ Deployment อัตโนมัติจำนวนมากหยุดทำงานทันที เนื่องจาก Workflow ต่าง ๆ ที่อ้างอิง Azure/functions-action@v1 ไม่สามารถดึงแพ็กเกจจาก GitHub ได้อีกต่อไป

อีกจุดที่ได้รับความสนใจเป็นพิเศษคือกลุ่มรีโป Durable Task ซึ่งเป็นเทคโนโลยีสำคัญสำหรับการสร้าง Workflow และงานแบบ Long-running บน Azure โดยรีโปทั้งหมดในตระกูล Durable Task ไม่ว่าจะเป็นเวอร์ชันสำหรับ .NET, Go, Java, JavaScript, MSSQL หรือ Netherite ถูกปิดพร้อมกันทั้งหมด

ความน่าสงสัยอยู่ตรงที่โครงการ Durable Task เคยตกเป็นเป้าหมายของการโจมตีซัพพลายเชนเมื่อเดือนพฤษภาคมที่ผ่านมา หลังพบว่ามีการเผยแพร่แพ็กเกจอันตรายของ durabletask บน PyPI ซึ่งเป็นคลังแพ็กเกจ Python อย่างเป็นทางการ

ในครั้งนั้น นักวิจัยจากหลายบริษัทด้านความปลอดภัยพบว่าผู้โจมตีสามารถใช้ข้อมูลลับของ GitHub Actions ที่ถูกขโมยไป เพื่อเผยแพร่แพ็กเกจปลอมเข้าสู่ระบบได้สำเร็จ ก่อนที่แพ็กเกจจะถูกลบออกในเวลาต่อมา

การที่รีโป Durable Task กลับมาตกเป็นศูนย์กลางของเหตุการณ์ครั้งใหม่ จึงทำให้เกิดคำถามว่าผู้โจมตีอาจยังคงมีสิทธิ์เข้าถึงบางส่วนของระบบอยู่ หรืออาจเป็นการกลับมาโจมตีซ้ำอีกครั้ง

สงสัยเชื่อมโยงมัลแวร์ Miasma ที่กำลังระบาด

แม้ Microsoft และ GitHub จะยังไม่ได้เปิดเผยสาเหตุอย่างเป็นทางการ แต่ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์จำนวนมากเริ่มตั้งข้อสังเกตถึงความเป็นไปได้ที่เหตุการณ์ครั้งนี้อาจเกี่ยวข้องกับ “Miasma” มัลแวร์โจมตีซัพพลายเชนรุ่นใหม่ที่เพิ่งถูกค้นพบเมื่อไม่นานมานี้

Miasma เป็นเวอร์ชันต่อยอดจากเครื่องมือโจมตี Mini Shai-Hulud ซึ่งถูกเปิดซอร์สโค้ดสู่สาธารณะเมื่อเดือนพฤษภาคมที่ผ่านมา ทำให้ผู้โจมตีรายอื่นสามารถนำไปดัดแปลงและใช้งานต่อได้ง่ายขึ้น

สิ่งที่น่ากังวลคือ Miasma ได้เพิ่มความสามารถในการขโมยข้อมูลรับรองของ Azure และ Google Cloud โดยเฉพาะ รวมถึงสามารถสร้างรีโปสาธารณะบน GitHub ของเหยื่อโดยอัตโนมัติ พร้อมอัปโหลดข้อมูลลับที่ขโมยมาในรูปแบบไฟล์ JSON

พฤติกรรมดังกล่าวมีลักษณะใกล้เคียงกับสิ่งที่อาจกระตุ้นให้ระบบอัตโนมัติของ GitHub มองว่าเป็นการละเมิดข้อกำหนดการใช้งาน และนำไปสู่การปิดรีโปจำนวนมากพร้อมกัน

อย่างไรก็ตาม จนถึงขณะนี้ยังไม่มีหลักฐานยืนยันว่า Miasma คือสาเหตุโดยตรงของเหตุการณ์ดังกล่าว และผู้เชี่ยวชาญยอมรับว่าความเชื่อมโยงทั้งหมดในขณะนี้ยังเป็นเพียงการวิเคราะห์จากข้อมูลแวดล้อมที่มีอยู่

สิ่งที่ชัดเจนคือเหตุการณ์ครั้งนี้มีผลกระทบในวงกว้างจน Microsoft ต้องแนะนำให้นักพัฒนาเปลี่ยนไปใช้วิธี Deployment อื่นชั่วคราว เช่น Azure CLI, Azure DevOps, Azure Pipelines หรือ Zip Deploy แทนการใช้งาน GitHub Actions ที่ได้รับผลกระทบ

ไม่ว่าเบื้องหลังจะเกิดจากมัลแวร์ การรั่วไหลของข้อมูลรับรอง หรือปัญหาภายในองค์กร เหตุการณ์ที่ GitHub ปิดรีโปสำคัญของ Microsoft พร้อมกันถึง 73 รายการภายในเวลาไม่ถึงสองนาที ถือเป็นหนึ่งในเหตุการณ์ด้านความปลอดภัยซัพพลายเชนซอฟต์แวร์ที่ใหญ่ที่สุดของปี 2026 และเป็นสัญญาณเตือนสำคัญว่าแม้แต่ผู้ให้บริการคลาวด์รายใหญ่ที่สุดของโลกก็ยังไม่อาจหลีกเลี่ยงความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่ซับซ้อนขึ้นเรื่อย ๆ

ที่มา