NPM โดนเจาะ! แฮกเกอร์ซ่อนมัลแวร์ในแพ็กเกจ ยอดดาวน์โหลดทะลุ 86,000 ครั้ง

นักพัฒนาโปรแกรมมีเรื่องให้ต้องปวดหัวอีกแล้ว เมื่อบริษัทความปลอดภัย Koi ออกมาเปิดโปงแคมเปญโจมตีชื่อ PhantomRaven ที่แอบปล่อยแพ็กเกจอันตรายกว่า 126 รายการเข้าไปใน NPM (แหล่งรวมโค้ดสำหรับนักพัฒนา JavaScript) มาตั้งแต่เดือนสิงหาคม และมียอดดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง โดยที่หลายคนยังไม่รู้ตัว

เรื่องของเรื่องคือ แฮกเกอร์กลุ่มนี้ฉวยโอกาสจากฟีเจอร์ที่เรียกว่า Remote Dynamic Dependencies (RDD) ของ NPM ซึ่งเป็นฟีเจอร์ที่อนุญาตให้แพ็กเกจสามารถดึงโค้ดส่วนเสริม (Dependencies) จากเว็บไซต์ภายนอกที่ไม่น่าเชื่อถือได้โดยอัตโนมัติ แถมยังเป็นการเชื่อมต่อแบบ HTTP ที่ไม่ได้เข้ารหัสอีกด้วย ช่องโหว่นี้กลายเป็นจุดบอดสำคัญที่เครื่องมือสแกนความปลอดภัยส่วนใหญ่มองไม่เห็น เพราะหน้าจอจะแสดงผลว่าแพ็กเกจนั้นมี '0 Dependencies' ทั้งที่จริง ๆ แล้วมันกำลังแอบไปดาวน์โหลดของแถมสุดอันตรายมาติดตั้งในเครื่องเราอยู่เงียบ ๆ

ความร้ายกาจของ PhantomRaven ยังไม่หมดแค่นั้น เพราะโค้ดอันตรายที่ถูกดาวน์โหลดมาจะมาแบบ 'สดใหม่' ทุกครั้งที่ติดตั้ง ไม่ได้ถูกเก็บไว้ในแคช ทำให้แฮกเกอร์สามารถปรับเปลี่ยนเป้าหมายได้ตลอดเวลา เช่น อาจจะส่งโค้ดธรรมดา ๆ ให้กับคนที่ดูเหมือนนักวิจัยความปลอดภัย แต่พอเจอเป้าหมายที่เป็นเครือข่ายบริษัท ก็จะส่งมัลแวร์ตัวจริงไปให้ทันที

เป้าหมายหลักของมัลแวร์เหล่านี้คือการกวาดข้อมูลสำคัญในเครื่องของนักพัฒนาให้เกลี้ยง ซึ่งประกอบไปด้วย:

• Environment variables ที่เผยข้อมูลการตั้งค่าและระบบภายในของนักพัฒนา
• ข้อมูลล็อกอินของ GitHub, Jenkins และ NPM ซึ่งอาจถูกนำไปใช้โจมตีแบบ Supply-chain ต่อได้
• ข้อมูลสภาพแวดล้อมของ CI/CD (กระบวนการส่งมอบและผสานโค้ดอัตโนมัติ) ทั้งหมด

ที่น่าสนใจคือ แฮกเกอร์ยังใช้เทคนิคสุดแยบยล โดยการตั้งชื่อแพ็กเกจอันตรายตามชื่อที่ AI Chatbot มักจะ 'สร้างขึ้นมาเอง' (Hallucinated) เวลาที่นักพัฒนาถามหาชื่อ Dependencies ที่ต้องการ พอได้ชื่อปลอม ๆ มา ก็เอาไปค้นหา แล้วก็เจอแพ็กเกจของแฮกเกอร์ที่ดักรออยู่พอดี

งานนี้ใครที่ใช้ NPM อยู่เป็นประจำ คงต้องรีบไปตรวจสอบระบบของตัวเองตามคำแนะนำของบริษัท Koi โดยด่วน ก่อนจะตกเป็นเหยื่อรายต่อไปแบบไม่รู้ตัว