TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Fortinet FortiGuard Labs เปิดเผยรายงานล่าสุดพบแพ็กเกจซอฟต์แวร์ที่มุ่งร้ายจำนวนมากใช้เทคนิคแบบซับซ้อนเพื่อหลบเลี่ยงการตรวจจับ โดยใช้วิธีการหลากหลายรูปแบบรวมถึง Typosquatting และสคริปต์ติดตั้งที่น่าสงสัย
รายงานของ FortiGuard Labs ซึ่งรวบรวมข้อมูลตั้งแต่เดือนพฤศจิกายน 2024 ระบุว่ามีการตรวจพบแพ็กเกจที่เป็นอันตรายหลายพันรายการกระจายอยู่ตาม Open-source Repository โดยใช้เทคนิคที่หลากหลายเพื่อบุกรุกระบบ โดยแพ็กเกจเหล่านี้มีคุณลักษณะต่างๆ เช่น โค้ดขนาดเล็กที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับ, สคริปต์ที่ทำงานเมื่อติดตั้ง และแพ็กเกจที่ไม่มี Repository URL ทำให้ยากต่อการตรวจสอบแหล่งที่มา นอกจากนี้ ผู้โจมตียังฝัง URL ที่เป็นอันตรายและใช้ API เพื่อขโมยข้อมูลหรือควบคุมระบบจากระยะไกล หลายแพ็กเกจใช้กลยุทธ์หลอกลวง เช่น ใส่หมายเลขเวอร์ชันที่สูงเกินจริงและคำอธิบายที่ว่างเปล่าเพื่อปกปิดเจตนาที่แท้จริงและทำให้ผู้ใช้งานเข้าใจผิด
ผลการวิจัยพบว่าผู้โจมตีมักใช้แพ็กเกจที่มีไฟล์น้อยเพื่อหลบเลี่ยงมาตรการรักษาความปลอดภัยแบบดั้งเดิม, ใช้การพรางโค้ด และใช้คำสั่งที่เขียนทับ เพื่อให้สามารถขโมยข้อมูลหรือเข้าถึงระบบโดยไม่ได้รับอนุญาตโดยไม่ถูกตรวจจับ อีกวิธีการโจมตีที่พบบ่อยคือการใช้สคริปต์ติดตั้งที่น่าสงสัย ซึ่งจะแอบแฝงโค้ดที่เป็นอันตรายระหว่างกระบวนการติดตั้ง บางสคริปต์ปรับเปลี่ยนขั้นตอนการติดตั้งเพื่อให้ตัวเองคงอยู่ในระบบตลอดไป ในขณะที่บางตัวใช้ API ภายนอกเพื่อติดต่อกับเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม Fortinet ยังพบภัยคุกคามหลายรายการที่ใช้ Python เช่น AffineQuant-99.6 และ amzn-aws-glue-ml-libs-python-6.1.5 ที่ใช้ไฟล์ setup.py เพื่อเก็บรวบรวมรายละเอียดของระบบเช่น MAC address และข้อมูลประจำตัวของผู้ใช้งาน นอกจากนี้ยังพบสคริปต์ JavaScript ที่เป็นอันตรายเช่น seller-admin-common_6.5.8 และ xeno.dll_1.0.2 ที่ทำการเก็บข้อมูลระบบและส่งออกผ่าน Discord webhook
Fortinet แนะนำให้องค์กรเสริมสร้างความปลอดภัยที่แข็งแกร่ง รวมถึงการตรวจสอบการพึ่งพา Open-source, การใช้โซลูชัน Threat Intelligence และการใช้เทคนิคการวิเคราะห์พฤติกรรมเพื่อตรวจจับภัยคุกคามมัลแวร์ที่เกิดขึ้นใหม่
