มีการค้นพบแคมเปญการกระจายมัลแวร์ขนาดใหญ่บน GitHub หลังจากนักวิจัยตรวจพบว่ามี Repositories มากกว่า 10,000 แห่งมีการแพร่กระจายไฟล์ archives ที่มี Trojan แฝงอยู่ ซึ่งเหตุการณ์ดังกล่าวได้สร้างความกังวลอย่างมาก เกี่ยวกับการที่ผู้โจมตีใช้ความน่าเชื่อถือของแพลตฟอร์มเป็นเครื่องมือ รวมถึงใช้ช่องโหว่ในระบบตรวจจับอัตโนมัติ
การตรวจสอบในครั้งนี้เริ่มต้นขึ้นเมื่อนักวิจัยสังเกตเห็นว่า Repository ของตนเองในเวอร์ชันที่ถูก Cloned ปรากฏขึ้นบนผลลัพธ์ของโปรแกรม Search Engine
แม้ว่าชื่อโปรเจกต์, คำอธิบาย และประวัติการแก้ไขซอร์สโค้ด (Commit History) จะดูเหมือนกันทุกประการ แต่พบว่ามีประวัติการแก้ไขที่ถูกเพิ่มเข้ามาใหม่ ซึ่งเป็นการแทรกลิงก์อันตรายไว้ในไฟล์ README โดยลิงก์ดังกล่าวจะชี้ไปยังไฟล์ archive ประเภท ZIP ที่เปิดให้ดาวน์โหลด
ต่อมา ได้มีการตรวจพบพฤติกรรมในลักษณะเดียวกันนี้ใน Repositories อีกหลายแห่ง ซึ่งมีทั้งชื่อโปรเจกต์ และรายชื่อผู้ร่วมพัฒนาที่แตกต่างกัน โดยไม่พบความเชื่อมโยงในลักษณะของการ Fork โค้ดโดยตรง ซึ่งบ่งชี้ว่าเหตุการณ์นี้เป็นการโจมตีที่มีการวางแผน และประสานงานกันเป็นอย่างดี แทนที่จะเป็นเพียงเหตุการณ์ที่เกิดขึ้นโดยไม่มีความเชื่อมโยงกัน
ผลจากการวิเคราะห์อย่างละเอียดพบรูปแบบพฤติกรรมที่สอดคล้องกันใน Repositories เหล่านี้ โดยกลุ่มผู้โจมตีได้ทำการจำลอง Repositories ที่น่าเชื่อถือขึ้นมาใหม่ พร้อมทั้งคัดลอกประวัติการแก้ไขซอร์สโค้ด และข้อมูลประวัติของผู้ร่วมพัฒนามาอย่างครบถ้วน ซึ่งมีวัตถุประสงค์เพื่อสร้างความน่าเชื่อถือให้แก่โปรเจกต์ปลอมดังกล่าว
ผลกระทบจากแคมเปญการกระจายมัลแวร์บน GitHub
หลังจากนั้น กลุ่มผู้โจมตีจะทำการแก้ไขไฟล์ README เป็นระยะเพื่อแทรกลิงก์ที่ชี้ไปยังไฟล์ ZIP จากภายนอก โดยประวัติการ Commits เหล่านี้ มักจะถูกเขียนทับ และส่งคำสั่งอัปเดตซ้ำในทุก ๆ ไม่กี่ชั่วโมง และมักจะระบุข้อความกำกับว่า “Update README.md” ซึ่งเป็นกลวิธีที่อาจช่วยในการหลบเลี่ยงกลไกการตรวจจับ หรือเพื่อคงสถานะการมองเห็นใน Indexing Systems
ภายในไฟล์ ZIP ที่เชื่อมโยงไปนั้น ประกอบด้วยชุดไฟล์ขนาดเล็กจำนวนหนึ่ง ซึ่งรวมถึง command scripts, executable loaders และไฟล์ dynamic libraries
แม้ว่าการตรวจสอบลิงก์ของไฟล์แต่ละไฟล์ในหลายกรณีจะไม่พบพฤติกรรมน่าสงสัยบน VirusTotal แต่เมื่อทำการดาวน์โหลด และสแกนไฟล์ archive ฉบับเต็ม กลับตรวจพบมัลแวร์ประเภท Trojan
สิ่งนี้แสดงให้เห็นว่ากลุ่มผู้โจมตีอาจกำลังใช้วิธีหลบเลี่ยงการตรวจจับที่อาศัยการแยกส่วนประกอบ หรือการซ่อนชุดคำสั่งอันตราย เพื่อ Bypass ระบบตรวจสอบ และสแกนไฟล์อัตโนมัติ
เพื่อระบุขอบเขต และขนาดของแคมเปญการโจมตีดังกล่าว นักวิจัยจึงได้พัฒนาสคริปต์ขึ้นมา โดยอาศัยการวิเคราะห์ข้อมูลเหตุการณ์ที่เกิดขึ้นบน GitHub จากคลังข้อมูลบันทึกสถิติสาธารณะ (GH Archive)
แทนที่จะทำการสแกน Repositories ทั้งหมด ซึ่งไม่สามารถปฏิบัติได้จริงในทางปฏิบัติ เนื่องจากติดข้อจำกัดในเรื่องของ API Rate Limits สคริปต์ดังกล่าวจึงมุ่งเน้นไปที่การตรวจสอบ Repositories ที่มีการอัปเดตบ่อยครั้ง
จากการวิเคราะห์ข้อมูลเหตุการณ์การแก้ไขซอร์สโค้ด จำนวนประมาณ 16 ล้านรายการ ตลอดระยะเวลา 5 วัน พบว่ามี Repositories ราว 3,000 แห่ง ที่แสดงรูปแบบการอัปเดตข้อมูลที่น่าสงสัย
หลังจากทำการปรับปรุงระบบกรองข้อมูลเพื่อคัดกรองโปรแกรมอัตโนมัติออกไป พร้อมทั้งกำหนดเงื่อนไขด้านความหลากหลายของผู้ร่วมพัฒนา และการตรวจจับความผิดปกติของช่วงเวลาในการแก้ไขซอร์สโค้ดแล้ว ซึ่งในท้ายที่สุด สคริปต์ดังกล่าวสามารถระบุ Repositories ได้ราว 10,000 แห่ง ที่มีลักษณะตรงกับรูปแบบพฤติกรรมที่เป็นอันตราย
จากข้อมูลของ Orchid ในรายงานที่แบ่งปันให้กับสำนักข่าว Cybersecurity News ระบุว่า Repositories ที่ถูก compromised จำนวนมากนั้น ไม่ถูกตรวจพบจากการตรวจจับมาเป็นเวลาหลายเดือน หรืออาจนานนับปี
นอกจากนี้ นักวิจัยยังพบว่ามี Repositories อีกหลายแห่งที่ถูกอัปเดตข้อมูลนาน ๆ ครั้ง ซึ่งข้อเท็จจริงนี้ได้หักล้างสมมติฐานเดิมที่เชื่อว่า ความเคลื่อนไหวในการแก้ไขซอร์สโค้ดที่รวดเร็วเป็นลักษณะเด่นที่บ่งชี้ถึง repositories ที่เป็นอันตราย
indicators เพิ่มเติมอื่น ๆ ประกอบไปด้วย การ Commits ที่ไม่มีการเปลี่ยนแปลงเนื้อหาของไฟล์จริง และการใช้หลักเกณฑ์การตั้งชื่อที่สอดคล้องกัน ซึ่งข้อมูลเหล่านี้ช่วยเน้นย้ำถึงการใช้วิธีขับเคลื่อนระบบอัตโนมัติในการกระจายมัลแวร์
กลวิธี และข้อจำกัดของระบบป้องกัน
แคมเปญการโจมตีนี้ดูเหมือนจะถูกออกแบบมาเพื่อใช้ประโยชน์จากความสามารถของ GitHub บน Search Engines ตลอดจนกระบวนการทำงานของนักพัฒนา โดยกลุ่มผู้โจมตีใช้วิธีจำลอง Repositories ที่เพิ่งสร้างขึ้นใหม่ หรือ repositories ที่มีปริมาณผู้เข้าชมต่ำ เพื่อเพิ่มโอกาสให้โปรเจกต์ปลอมเหล่านี้ปรากฏบนผลลัพธ์การค้นหาสำหรับคำค้นหาเฉพาะกลุ่ม
นอกจากนี้ การคงประวัติการ Commit และข้อมูล Metadata ของผู้ร่วมพัฒนาเอาไว้ ยังเป็นการเพิ่มความน่าเชื่อถือให้แก่โปรเจกต์ ซึ่งส่งผลให้ผู้ใช้งานมีแนวโน้มที่จะไว้วางใจ และดาวน์โหลดไฟล์อันตรายเหล่านั้นไปใช้งานมากยิ่งขึ้น
แม้ว่าจะมีความพยายามในการรายงานเหตุการณ์ดังกล่าว แต่มาตรการแก้ไขปัญหากลับยังไม่มีความสม่ำเสมอ โดย GitHub ได้ดำเนินการลบ Repositories เฉพาะตามที่มีรายชื่อระบุไว้อย่างชัดเจนในรายงานของนักวิจัยเท่านั้น แต่ Repositories ที่เป็นอันตรายซึ่งเพิ่งถูกตรวจพบใหม่กลับยังคงใช้งานได้ตามปกติ ซึ่งสะท้อนให้เห็นว่าแนวทางการบังคับใช้มาตรการความปลอดภัยในปัจจุบันยังคงเป็นในลักษณะตั้งรับ (Reactive) มากกว่าการเฝ้าระวังเชิงรุก (Proactive)
รายงานสาธารณะ และการศึกษาวิจัยก่อนหน้านี้ระบุว่า วิธีการโจมตีในลักษณะนี้ถูกนำมาใช้งานตั้งแต่ช่วงต้นปี 2025 เป็นอย่างน้อย โดยพบว่ามีแคมเปญการโจมตีที่มีพฤติกรรมคล้ายคลึงกันทำหน้าที่แพร่กระจายมัลแวร์ตระกูลต่าง ๆ เช่น SmartLoader และ StealC
ผลการวิจัยเหล่านี้สะท้อนให้เห็นถึงความท้าทายในวงกว้างที่แพลตฟอร์มผู้ให้บริการฝากไฟล์ซอร์สโค้ดกำลังเผชิญ นั่นคือการตรวจจับพฤติกรรมที่เป็นอันตรายซึ่งมีลักษณะเลียนแบบกระบวนการพัฒนาซอฟต์แวร์ที่ปกติ
หากไม่มีการวิเคราะห์เชิงลึกที่สามารถรองรับข้อมูลขนาดใหญ่ ทั้งในส่วนของเนื้อหา Repository, รูปแบบการแก้ไขซอร์สโค้ด และ External Links แคมเปญการโจมตีในลักษณะนี้ก็จะยังคงสามารถแฝงตัวอยู่ต่อไปได้โดยไม่ถูกตรวจพบ
สำหรับกลุ่มนักพัฒนาซอฟต์แวร์ เหตุการณ์ในครั้งนี้ช่วยเน้นย้ำถึงความสำคัญของการตรวจสอบความถูกต้องของไฟล์ที่ดาวน์โหลดจากภายนอก แม้ว่าไฟล์ดังกล่าวจะมาจาก Repositories ที่ดูน่าเชื่อถือก็ตาม
ที่มา : Cybersecuritynews
You must be logged in to post a comment.