บริษัทวิจัยความปลอดภัย Wiz รายงานถึงแคมเปญแฮกวงกว้างของกลุ่มแฮกเกอร์ที่ใช้มัลแวร์ตระกูล Shai-Hulud โดยการแฮกครั้งนี้ประสบความสำเร็จในการกระจายโค้ดมุ่งร้ายเข้าไปยังแพ็กเกจ npm และโค้ดใน GitHub จำนวนมาก

ทาง Wiz ตรวจพบการแฮกครั้งแรกช่วงวันที่ 21-23 พฤศจิกายนที่ผ่านมา โดยตัวมัลแวร์จะแทรกสคริปต์ preinstall ใน npm ทำให้คนร้ายดึงข้อมูลจากเครื่องของเหยื่อออกไปได้ โดยจะดึงข้อมูล เช่น GitHub token, กุญแจสำหรับคลาวด์ เช่น AWS, GCP, Azure

ตัวมัลแวร์มีความสามารถในการดึงข้อมูลต่อเนื่อง เช่น เมื่อได้กุญแจคลาวด์ไปแล้ว ก็จะพยายามดูดกุญแจต่างๆ ที่เก็บไว้ใน AWS Secrets Manager, Google Secret Manager, หรือ Azure Key Vault ต่อเนื่องทันที หากมัลแวร์อยู่ใน Docker ก็จะพยายามเจาะทะลุไปยังเครื่องแม่

ตอนนี้ทั้ง npm และ GitHub กำลังพยายามไล่ลบโค้ดมุ่งร้ายเหล่านี้ออก ทาง Wiz แนะนำให้ทุกคนตรวจสอบกุญแจต่างๆ และอาจจะยกเลิกกุญแจเดิม หากใช้ npm ในเครื่องให้สั่ง npm cache clean --force เพื่อล้างโค้ดเวอร์ชั่นเดิมออก และลบโฟลเดอร์ node_modules ทิ้งเพื่อป้องกันกรณีที่ดาวน์โหลดเวอร์ชั่นมีมัลแวร์ก่อนหน้านี้

ที่มา - Wiz