GitHub กำลังเร่งตรวจสอบการถูกเจาะระบบ internal repositories หลังจากกลุ่มแฮ็กเกอร์ TeamPCP ออกมาอ้างว่าสามารถเข้าถึง repositories ได้ประมาณ 4,000 แห่ง ซึ่งภายในนั้นมี source code ที่เป็นความลับอยู่
GitHub เป็นแพลตฟอร์มผู้ให้บริการพัฒนาซอฟต์แวร์บนระบบคลาวด์ที่มีองค์กรใช้งานมากกว่า 4 ล้านแห่ง (รวมถึง 90% ของบริษัทในกลุ่ม Fortune 100) และมีนักพัฒนาใช้งานมากกว่า 180 ล้านคน ซึ่งร่วมกันดูแล repositories รวมกันกว่า 420 ล้านแห่ง
ทางบริษัทเปิดเผยว่า กำลังอยู่ระหว่างการตรวจสอบ และยังไม่มีข้อมูลเพิ่มเติมในขณะนี้ อย่างไรก็ตาม GitHub ระบุว่า ณ ตอนนี้ยังไม่พบหลักฐานว่าข้อมูลของลูกค้าที่จัดเก็บไว้นอก internal repositories ได้รับผลกระทบแต่อย่างใด
GitHub ชี้แจงกับ BleepingComputer ว่า "บริษัทกำลังตรวจสอบการเข้าถึง internal repositories ของ GitHub โดยไม่ได้รับอนุญาต แม้ว่าในตอนนี้จะยังไม่พบหลักฐานว่าข้อมูลของลูกค้าที่เก็บอยู่นอก internal repositories ของ GitHub เช่น ข้อมูลระดับองค์กร, บริษัท หรือ repositories ของลูกค้าเอง ได้รับผลกระทบ แต่บริษัทกำลังเฝ้าระวังโครงสร้างพื้นฐานของบริษัทเองอย่างใกล้ชิด เพื่อตรวจจับการเคลื่อนไหวที่อาจเกิดขึ้นตามมา"
นอกจากนี้ GitHub ยังระบุด้วยว่า หากตรวจพบหลักฐานว่ามีข้อมูลใด ๆ ของลูกค้าได้รับผลกระทบ บริษัทจะแจ้งเตือนให้ลูกค้ากลุ่มดังกล่าวทราบทันทีผ่านช่องทางการแจ้งเตือน และกระบวนการตอบสนองต่อภัยคุกคามที่มีอยู่
เมื่อวันอังคารที่ผ่านมา กลุ่ม TeamPCP ได้โพสต์ลงบนฟอรัม Breached hacking โดยอ้างว่าพวกเขาสามารถเข้าถึง source code และโครงสร้างองค์กรภายในของ GitHub ได้ พร้อมทั้งตั้งราคาขายไว้ที่อย่างน้อย 50,000 ดอลลาร์สหรัฐ
TeamPCP ระบุว่า "เราไม่รับข้อเสนอที่ราคาต่ำกว่านี้ ข้อมูลทุกอย่างของแพลตฟอร์มหลักอยู่ที่นี่หมดแล้ว และเรายินดีส่งตัวอย่างข้อมูลให้ผู้ที่สนใจตรวจสอบเพื่อยืนยันว่าเป็นของจริง ข้อมูลนี้ประกอบไปด้วย private repositories รวมทั้งหมดประมาณ 4,000 แห่ง"
"นี่ไม่ใช่การเรียกค่าไถ่ เราไม่สนใจที่จะขู่กรรโชกทรัพย์จาก GitHub ถ้ามีผู้ซื้อเพียงรายเดียวตกลงซื้อไป เราจะทำลายข้อมูลในฝั่งของเราทิ้งทันที ดูเหมือนพวกเราใกล้จะวางมือแล้ว ดังนั้นหากไม่มีใครซื้อ เราจะปล่อยข้อมูลนี้ให้ดาวน์โหลดฟรี หากคุณสนใจ ส่งข้อเสนอของคุณมาตามช่องทางติดต่อด้านล่าง เราไม่สนใจข้อเสนอที่ต่ำกว่า 50,000 ดอลลาร์ ใครให้ราคาดีที่สุดก็รับไป"
ก่อนหน้านี้ กลุ่ม TeamPCP เคยมีประวัติเชื่อมโยงกับการโจมตีในรูปแบบ Supply Chain Attack ที่มุ่งเป้าไปยังแพลตฟอร์มโค้ดสำหรับนักพัฒนาหลายแห่ง ไม่ว่าจะเป็น GitHub, PyPI, NPM และ Docker
- เมื่อเดือนมีนาคมที่ผ่านมา กลุ่ม TeamPCP ได้เจาะระบบของเครื่องมือตรวจสอบช่องโหว่ Trivy ของบริษัท Aqua Security ซึ่งเชื่อกันว่าเป็นต้นเหตุที่ทำให้เกิดการลามไปเจาะระบบต่อเนื่อง จนส่งผลกระทบต่อ Docker Image ของ Aqua Security และโครงการ Checkmarx KICS
- การเจาะระบบ Trivy ในเดือนมีนาคม ยังส่งผลกระทบไปถึงไลบรารี Python แบบโอเพนซอร์สที่ชื่อ LiteLLM โดยเป็นการโจมตีที่ทำให้อุปกรณ์หลายหมื่นเครื่องติดมัลแวร์ Infostealer ที่ชื่อ "TeamPCP Cloud Stealer"
- ล่าสุดกลุ่ม TeamPCP มีความเชื่อมโยงกับแคมเปญ Supply Chain Attack ที่มีชื่อว่า "Mini Shai-Hulud" (ส่งผลกระทบต่ออุปกรณ์ของพนักงาน OpenAI จำนวน 2 คน) นอกจากนี้ยังเคยขู่ว่าจะปล่อย source code ของ Mistral AI ที่ถูกขโมยมาโดยใช้ข้อมูล Credentials ของระบบ CI/CD ที่ถูกแฮ็กอีกด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.