GitHub ได้ออกมายืนยันว่า internal repositories ราว 3,800 แห่งถูกโจมตี หลังจากที่พนักงานรายหนึ่งได้ทำการติดตั้ง extension ของโปรแกรม VS Code ที่เป็นอันตราย
นับตั้งแต่เกิดเหตุ ทางบริษัทได้ดำเนินการถอด extension ที่ถูกฝังโทรจันซึ่งไม่ได้มีการระบุชื่อ ออกจาก VS Code Marketplace เป็นที่เรียบร้อยแล้ว พร้อมทั้งเข้าควบคุม และรักษาความปลอดภัยให้กับอุปกรณ์ที่ถูกเจาะ
บริษัทระบุว่า "เมื่อวานนี้ บริษัทได้ตรวจพบ และระงับเหตุละเมิดบนอุปกรณ์ของพนักงาน ซึ่งมีส่วนเกี่ยวข้องกับ VS Code extension ที่ถูกฝังมัลแวร์ เราได้ลบ extension เวอร์ชันที่เป็นอันตรายออก ทำการแยกอุปกรณ์ดังกล่าว และเริ่มดำเนินการตอบสนองต่อเหตุการณ์ทันที"
"จากการประเมินในปัจจุบันพบว่า เหตุการณ์ในครั้งนี้เกี่ยวข้องกับการลักลอบนำข้อมูลออก เฉพาะในส่วนของ internal repositories ของ GitHub เท่านั้น คำกล่าวอ้างของผู้โจมตีที่ระบุว่า ได้ข้อมูล repositories ไปราว 3,800 แห่งนั้น ถือว่าสอดคล้องกับผลการสืบสวนของในขณะนี้"
เหตุการณ์นี้เกิดขึ้นหลังจากที่ GitHub แจ้งกับ BleepingComputer เมื่อเย็นวันอังคารว่า กำลังตรวจสอบข้อกล่าวอ้างเกี่ยวกับการเข้าถึง internal repositories โดยไม่ได้รับอนุญาต และเสริมว่าไม่มีหลักฐานว่าข้อมูลลูกค้าที่จัดเก็บอยู่นอก repositories ที่ได้รับผลกระทบนั้นได้รับผลกระทบด้วย
แม้ว่า GitHub จะยังไม่ได้ระบุตัวผู้ก่อเหตุละเมิดความปลอดภัยในครั้งนี้ แต่กลุ่มแฮ็กเกอร์ TeamPCP ได้ออกมาอ้างความรับผิดชอบบนฟอรัมอาชญากรรมไซเบอร์ Breached เมื่อวันอังคารที่ผ่านมาว่า พวกเขาสามารถเข้าถึง Source code ของ GitHub และ internal repositories ราว 4,000 แห่ง พร้อมทั้งตั้งราคาขายข้อมูลที่ขโมยมาได้ไว้ที่อย่างน้อย 50,000 ดอลลาร์สหรัฐ
กลุ่มอาชญากรไซเบอร์ระบุว่า "นี่ไม่ใช่การเรียกค่าไถ่ เราไม่สนใจที่จะเรียกค่าไถ่จาก GitHub ขอเพียงมีผู้ซื้อเพียง 1 ราย เราก็จะทำลายข้อมูลในฝั่งของเราทิ้ง ดูเหมือนว่าพวกเราใกล้จะวางมือเต็มทีแล้ว ดังนั้นหากหาผู้ซื้อไม่ได้ เราก็จะนำข้อมูลนี้มาปล่อยฟรี" "หากคุณสนใจ สามารถส่งข้อเสนอมาตามช่องทางการติดต่อด้านล่าง เราไม่พิจารณาข้อเสนอที่ต่ำกว่า 50,000 ดอลลาร์ และผู้ที่ให้ข้อเสนอที่ดีที่สุดจะได้รับข้อมูลนี้ไป"
ก่อนหน้านี้ TeamPCP เคยมีส่วนเชื่อมโยงกับการโจมตีแบบ Supply chain attack ครั้งใหญ่ที่มุ่งเป้าไปยังแพลตฟอร์มโค้ดของนักพัฒนา ซึ่งรวมถึง GitHub, PyPI, NPM และ Docker และเมื่อไม่นานมานี้ยังมีส่วนเกี่ยวข้องกับแคมเปญการโจมตีแบบ Supply chain attack ที่มีชื่อว่า "Mini Shai-Hulud" (ซึ่งส่งผลกระทบต่อพนักงานของ OpenAI จำนวน 2 รายด้วยเช่นกัน)
Extensions ของ VS Code คือ plugins ที่สามารถติดตั้งได้จาก VS Code Marketplace (official store สำหรับ add-ons ของโปรแกรม code editor จาก Microsoft) เพื่อเพิ่มฟีเจอร์ หรือผสานการทำงานของเครื่องมือต่าง ๆ เข้ากับโปรแกรม
นี่ไม่ใช่ครั้งแรกที่มีการพบ VS Code extension แฝงมัลแวร์ใน Marketplace เนื่องจากในช่วงหลายปีที่ผ่านมา มี extension อันตรายอื่น ๆ อีกหลายรายการที่มีการติดตั้งหลายล้านครั้ง ถูกนำมาใช้เพื่อขโมยข้อมูล credentials ของนักพัฒนา และข้อมูลสำคัญอื่น ๆ
ตัวอย่างเช่น เมื่อปีที่แล้ว VS Code extension ที่มียอดติดตั้งรวมกว่า 9 ล้านครั้งถูกถอดออกเนื่องจากพบความเสี่ยงด้านความปลอดภัย และอีก 10 รายการที่แฝงตัวเป็นเครื่องมือช่วยพัฒนาซอฟต์แวร์ แต่กลับติดมัลแวร์ขุดเหรียญคริปโตฯ XMRig ใส่เครื่องของผู้ใช้
ต่อมาช่วงปลายปี extension อันตรายที่มีความสามารถในรูปแบบ ransomware ได้แอบเข้ามาใน VS Code Marketplace หลังจากที่ผู้โจมตีในชื่อ WhiteCobra ได้ปล่อย extension สำหรับขโมยเหรียญคริปโตฯ เข้ามาจำนวนมากถึง 24 รายการ
เมื่อไม่นานมานี้ ในเดือนมกราคม extension อันตราย 2 รายการที่โฆษณาว่าเป็นผู้ช่วยเขียนโค้ดด้วย AI และมียอดติดตั้งถึง 1.5 ล้านครั้ง ได้ขโมยข้อมูลจากระบบของนักพัฒนาที่ถูกโจมตีไปยังเซิร์ฟเวอร์ในประเทศจีน
ปัจจุบัน แพลตฟอร์มบนคลาวด์ของ GitHub มีองค์กรใช้งานมากกว่า 4 ล้านแห่ง (รวมถึง 90% ของบริษัทในกลุ่ม Fortune 100) และมีนักพัฒนามากกว่า 180 ล้านคนที่มีส่วนร่วมในการพัฒนา repositories มากกว่า 420 ล้านแห่ง
ที่มา : Bleepingcomputer
You must be logged in to post a comment.