TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
พบการโจมตี Supply Chain ขนาดใหญ่เข้าใส่ NPM Package ยอดนิยม 17 แพ็กเกจของ Gluestack ที่มียอดดาวน์โหลดรวมกว่า 1 ล้านครั้งต่อสัปดาห์ พบโค้ดมัลแวร์ที่ทำงานเป็น Remote Access Trojan
การโจมตี Supply Chain ครั้งสำคัญได้เกิดขึ้นใน NPM หลังจาก Package ยอดนิยม 17 แพ็กเกจของ Gluestack ‘@react-native-aria’ ที่มียอดดาวน์โหลดรวมกว่า 1 ล้านครั้งถูกแทรกโค้ดมัลแวร์ที่ทำงานเป็น Remote Access Trojan การโจมตีเริ่มต้นเมื่อวันที่ 6 มิถุนายน เวลา 4:33 น. EST จากการเผยแพร่เวอร์ชันใหม่ของแพ็กเกจ @react-native-aria/focus บน NPM นับตั้งแต่นั้นมา 17 จาก 20 แพ็กเกจของ Gluestack ถูก compromised โดยผู้โจมตีได้เผยแพร่เวอร์ชันใหม่ล่าสุดเมื่อไม่กี่ชั่วโมงที่ผ่านมา แพ็กเกจที่ได้รับผลกระทบรวมถึง @react-native-aria/button, @react-native-aria/focus, @react-native-aria/interactions และอื่นๆ ที่มียอดดาวน์โหลดตั้งแต่ 51,000 ถึง 125,000 ครั้งต่อสัปดาห์
การโจมตีครั้งนี้ถูกค้นพบโดยบริษัทด้านความปลอดภัยไซเบอร์ Aikido Security ซึ่งพบโค้ดที่ถูกซ่อนอยู่ในไฟล์ lib/index.js โค้ดมัลแวร์ถูกซ่อนอย่างหนักและแทรกที่บรรทัดสุดท้ายของโค้ดต้นฉบับ โดยเติมช่องว่างจำนวนมากเพื่อไม่ให้เห็นได้ง่ายเมื่อใช้ Code Viewer บนเว็บไซต์ NPM โค้ดมัลแวร์นี้เกือบจะเหมือนกับ Remote Access Trojan ที่พบในการโจมตี NPM อื่นๆ เมื่อเดือนที่แล้ว Remote Access Trojan จะเชื่อมต่อไปยัง Command and Control Server ของผู้โจมตีและรับคำสั่งต่างๆ เช่น การเปลี่ยน Directory ปัจจุบัน, การอัปโหลดไฟล์เดี่ยวหรือทั้ง Directory, การหยุดกระบวนการอัปโหลด และการรันคำสั่ง Shell ใดๆ ผ่าน child_process.exec()
นอกจากนี้ Trojan ยังดำเนินการ Windows PATH Hijacking โดยการเพิ่มเส้นทาง Python ปลอม (%LOCALAPPDATA%\Programs\Python\Python3127) ไปยังตัวแปรสภาพแวดล้อม PATH ทำให้มัลแวร์สามารถแทนที่คำสั่ง Python หรือ pip ที่ถูกต้องเพื่อรันไฟล์ binary ที่เป็นอันตราย Aikido Security ได้พยายามติดต่อ Gluestack เกี่ยวกับการโจมตีครั้งนี้โดยการสร้าง GitHub Issues ในแต่ละ Repository ของโปรเจกต์ แต่ยังไม่ได้รับการตอบสนองในเวลานั้น หลังจากการเผยแพร่ข่าวนี้ Gluestack ได้เพิกถอน Access Token ที่ใช้ในการเผยแพร่แพ็กเกจที่ถูก compromised และทำการ Deprecate แพ็กเกจเหล่านั้นบน NPM พร้อมกับอัปเดต latest tag ให้ชี้ไปยังเวอร์ชันเก่าที่ปลอดภัย เนื่องจากไม่สามารถ Unpublish เวอร์ชันที่ถูก compromised ได้เพราะมีแพ็กเกจอื่นที่ Depend อยู่
