เฟรมเวิร์กของมัลแวร์ขโมยข้อมูล Credential ชื่อ Miasma ซึ่งล่าสุดถูกนำมาใช้ในการโจมตีแบบ Supply Chain Attack ต่อระบบของโครงการ Open Source ได้ถูกนำขึ้นเผยแพร่แบบ Open Source บน GitHub เป็นช่วงเวลาสั้น ๆ
จากการวิเคราะห์พบว่า Miasma น่าจะเป็นพัฒนาการต่อยอดมาจาก Shai-Hulud worm ที่เคยถูกปล่อยโค้ดหลุดบน GitHub มาก่อน โดยทั้งสองตัวมีฟีเจอร์ เทคนิคการโจมตี และแม้แต่โค้ดบางส่วนที่คล้ายคลึงกันอย่างมาก
มัลแวร์ตัวนี้จะเริ่มจากการแพร่เชื้อไปยังเครื่องของนักพัฒนา (Developer Machine) จากนั้นจะขโมยข้อมูลใน Build Environment รวมถึง Cloud Credentials ก่อนนำข้อมูลดังกล่าวไปใช้เข้ายึดบัญชีหรือ Repository ที่ถูกต้อง เมื่อสามารถเข้าควบคุม Repository หรือแพ็กเกจได้แล้ว ผู้โจมตีจะเผยแพร่เวอร์ชันที่ถูกฝัง Trojan ไว้ (Trojanized Package) ทำให้ผู้พัฒนารายอื่นที่ดาวน์โหลดไปใช้งานติดมัลแวร์ตามไปด้วย ส่งผลให้วงจรการแพร่กระจายดำเนินต่อไปเรื่อย ๆ และขยายผลไปยังเหยื่อรายใหม่ในลักษณะ Supply Chain Attack
Miasma ถูกออกแบบให้สามารถแพร่กระจายตัวเองได้แบบอัตโนมัติในลักษณะคล้าย worm ทำให้การโจมตีสามารถขยายวงได้อย่างรวดเร็ว และอาจเปลี่ยนการโจมตีเพียงจุดเดียวให้ลุกลามกลายเป็น Supply Chain Attack ในวงกว้างได้
ก่อนหน้านี้ มัลแวร์ตัวนี้เคยถูกเชื่อมโยงกับการโจมตีที่มีชื่อเสียงหลายกรณี รวมถึงการฝังโค้ดอันตรายในแพ็กเกจ npm ของ Red Hat และล่าสุดยังพบว่ามีส่วนเกี่ยวข้องกับการโจมตีคลังข้อมูล (Repositories) บน GitHub ของ Microsoft จำนวน 73 รายการ
นักวิจัยจาก SafeDep รายงานเมื่อวานนี้ว่า Source Code ของ Miasma ถูกนำไปเผยแพร่บน GitHub ผ่านบัญชีนักพัฒนาที่ถูกยึด (Compromised Developer Accounts) หลายบัญชี โดยในแต่ละบัญชี ผู้โจมตีได้สร้าง Repository ชื่อ “Miasma-Open-Source-Release” เพื่อเผยแพร่โค้ดดังกล่าว
พฤติกรรมนี้บ่งชี้ว่าผู้โจมตีมีเจตนาปล่อย Source Code ออกสู่สาธารณะ ไม่ใช่การรั่วไหลโดยไม่ตั้งใจ ซึ่งมีลักษณะคล้ายกับกรณีของ Shai-Hulud ที่เคยถูกเผยแพร่ในลักษณะเดียวกันก่อนหน้านี้
จากการวิเคราะห์โค้ดพบว่า Miasma ไม่จำเป็นต้องพึ่งพาโครงสร้างพื้นฐานสำหรับ Command-and-Control (C2) ในการปฏิบัติการ เนื่องจากใช้ GitHub เป็นช่องทางสื่อสาร และควบคุมการทำงานแทน
เฟรมเวิร์กดังกล่าวสามารถขโมย Credential จากแหล่งต่าง ๆ ได้หลากหลาย ไม่ว่าจะเป็นผู้ให้บริการ Cloud, ระบบ CI/CD, Password Manager, Kubernetes และ Secret Store ก่อนนำ Credential ที่ได้ไปใช้ยึดแพ็กเกจบน npm, PyPI และ RubyGems รวมถึงเข้าควบคุม GitHub Repository, GitHub Actions Workflow และ JFrog Artifactory
นอกจากนี้ Miasma ยังสามารถโจมตีต่อไปภายในเครือข่าย (Lateral Movement) ผ่าน SSH และ AWS Systems Manager (SSM) ได้ อีกทั้งยังสามารถเปลี่ยนแปลงการตั้งค่าของเครื่องมือ AI Coding เช่น Claude, Gemini, Cursor, Copilot, Kiro และ Cline เพื่อแทรกแซง หรือใช้ประโยชน์จากสภาพแวดล้อมการพัฒนาซอฟต์แวร์ของเหยื่อได้อีกด้วย
อีกหนึ่งความสามารถที่น่าสนใจซึ่งถูกเปิดเผยจาก Source Code ของ Miasma คือการฝังกลไก “Dead-man Switch” เอาไว้ เมื่อมัลแวร์ใช้ GitHub Token ที่ขโมยมาจากเหยื่อเป็นช่องทางในการส่งข้อมูลที่ขโมยออกไป
กลไกดังกล่าวจะตรวจสอบความถูกต้องของ GitHub Token ทุก ๆ 1 นาที หากพบว่า Token ถูกเพิกถอน หรือใช้งานไม่ได้แล้ว มัลแวร์จะสั่งรันคำสั่งทำลายข้อมูล (rm -rf ~/; rm -rf ~/Documents) เพื่อลบไฟล์ และไดเรกทอรีทั้งหมดภายในโฟลเดอร์ Home และโฟลเดอร์ Documents ของผู้ใช้แบบ Recursive
กระบวนการตรวจสอบนี้จะทำงานเป็น systemd user service บนระบบ Linux หรือเป็น LaunchAgent บน macOS และสามารถคงการทำงานต่อเนื่องได้นานสูงสุด 72 ชั่วโมง
นอกจากนี้ การวิเคราะห์ยังเผยให้เห็นว่า Miasma มาพร้อมกับ Build Pipeline แบบ 5 ขั้นตอน ซึ่งถูกออกแบบมาเพื่อสร้าง Payload ที่มีลักษณะเฉพาะใหม่สำหรับการ Build แต่ละครั้ง ทำให้แต่ละตัวอย่างของมัลแวร์แตกต่างกัน และอาจหลบเลี่ยงการตรวจจับได้ง่ายขึ้น
SafeDep รายงานว่า Build Pipeline ของ Miasma ใช้เทคนิคหลายอย่างร่วมกันเพื่อปกปิดโค้ด และหลีกเลี่ยงการตรวจจับ โดยประกอบด้วยการเข้ารหัสไฟล์ที่ฝังอยู่ภายในแต่ละไฟล์ด้วย AES-256-GCM, การทำ String Obfuscation แบบสุ่ม, การแปลงโค้ดต้นฉบับ, การทำ JavaScript Obfuscation และการใช้ Self-extracting Loader ที่ครอบ Payload สุดท้ายด้วยการเข้ารหัสถึง 3 ชั้น
นอกจากนี้ ระบบยังสร้างคีย์แบบสุ่ม และใช้ชั้นการเข้ารหัสภายนอกที่เปลี่ยนแปลงแบบสุ่มในทุกครั้งที่ Build ส่งผลให้ตัวอย่างมัลแวร์ที่สร้างขึ้นแต่ละครั้งมีความแตกต่างจากเวอร์ชันก่อนหน้า ทำให้การตรวจจับด้วย Signature-based Detection และการวิเคราะห์แบบ Static Analysis ทำได้ยากยิ่งขึ้น
การรั่วไหลของ Source Code ของ Shai Hulud ในอดีตนำไปสู่การปรากฏของสายพันธุ์ที่มีความสามารถสูงกว่าอย่าง Miasma และส่งผลให้อัตราการโจมตีเพิ่มขึ้นอย่างเห็นได้ชัด เช่นเดียวกัน การเผยแพร่ Source Code ของ Miasma ในครั้งนี้ก็คาดว่าจะก่อให้เกิดผลกระทบในลักษณะเดียวกัน เมื่อ Threat Actor นำโค้ดไปดัดแปลง และพัฒนาต่อยอดเพื่อสร้างเวอร์ชันใหม่ที่มีความซับซ้อนมากขึ้น
สถานการณ์ดังกล่าวอาจส่งผลกระทบอย่างมีนัยสำคัญต่อความปลอดภัยของระบบนิเวศ Open Source เนื่องจาก Supply Chain Attack ยังคงพุ่งเป้าโจมตีโครงการต่าง ๆ อย่างต่อเนื่องในอัตราที่ไม่เคยเกิดขึ้นมาก่อน
นักพัฒนาซอฟต์แวร์จึงควรยึดเอาเวอร์ชันของ Dependency ที่ใช้งานปัจจุบันไว้ก่อน หลีกเลี่ยงการนำ Package ที่เพิ่งเผยแพร่มาใช้งานทันที โดยเว้นระยะเวลาหลายวันก่อนอัปเดต รวมถึงตรวจสอบ และทดสอบ Build ใหม่ในสภาพแวดล้อมแบบ Isolated Test Environment ก่อนนำไปใช้งานจริง เพื่อลดความเสี่ยงจากการโจมตีผ่าน Supply Chain Attack
ที่มา : bleepingcomputer
You must be logged in to post a comment.