นักวิจัยพบจากบริษัท Sonatype ได้รายงานถึงการตรวจพบแพ็คเกจ npm ที่เป็นอันตรายซึ่งภายในแพ็คเกจจะมีโค้ดที่ทำการรวบรวมรายละเอียดผู้ใช้และทำการอัปโหลดข้อมูลไปยัง GitHub ของแฮกเกอร์

ตามรายงานจาก Sonatype พบว่าแพ็คเกจทั้งสี่คือ Electorn, lodashs, loadyaml และ loadyml ทั้ง 4 แพ็คเกจได้รับการพัฒนาจากผู้ใช้คนเดียวกันที่ชื่อ simplelive12 และถูกอัปโหลดลงบนพอร์ทัล npm ในเดือนสิงหาคมแต่ปัจจุบันถูกลบไปแล้วโดยทีมรักษาความปลอดภัยของ npm จากการตรวจสอบโค้ดของแพ็คเกจทั้งสี่พบว่า ผู้โจมตีได้มีการใช้เทคนิค typosquatting ซึ่งเป็นเทคนิคที่อาศัยการที่ผู้ใช้ที่ทำการสะกดชื่อของแพ็กเกจผิด เพื่อให้ทำให้ผู้ใช้ได้รับการติดตั้งแพ็คเกจที่มีชื่อคล้ายกันและภายในจะแพ็คเกจจะมีโค้ดที่ทำการรวบรวม IP address, country, city, computer username, home directory path และข้อมูลโมเดลรุ่นของ CPU และการโพสต์ข้อมูลในส่วนของ GitHub repository ของผู้พัฒนา

นักวิจัยจาก Sonatype กล่าวว่าข้อมูลที่ถูกส่งกับไปยัง GitHub นั้นจะถูกลบออกทุกๆ 24 ชั่วโมงซึ่งส่วนใหญ่จะถูกคัดลอกและถูกจัดทำดัชนีภายในฐานข้อมูลอื่น ยังไม่ชัดเจนว่าเป้าหมายของการดำเนินการนี้คืออะไร ทั้งนี้ผู้ใช้ควรทำการตรวจสอบแพ็คเกจ JavaScript npm ภายในเครื่องถ้าพบว่าเคยทำการติดตั้งแพ็คเกจชุดนี้ควรทำการตรวจสอบและลบออกจากเครื่องเพื่อเป็นการป้องกันการใช้ประโยชน์จากข้อมูลที่ถูกเก็บไปใช้ประโยชน์ในการโจมตีในรูปแบบอื่น

ที่มา: zdnet.

กิจกรรม Hacktoberfest เป็นกิจกรรมซึ่งร่วมจัดโดย Digital Ocean, GitHub และ Twilio เพื่อการเฉลิมฉลองและสนับสนุนการพัฒนาซอฟต์แวร์แบบโอเพนซอร์ส เงื่อนไขของการทำกิจกรรมคือการ contribute โครงการโอเพนซอร์สอย่างน้อย 5 ครั้งก่อนวันที่ 31 ตุลาคมเพื่อรับเสื้อของกิจกรรม Hacktoberfest

ความนิยมของกิจกรรมและความโลภของคนที่แย่งกันจะเอาเสื้อตัวเดียวนั้นส่งผลให้โครงการโอเพนซอร์สหลายโครงการประสบกับเหตุการณ์ pull request ขยะเป็นจำนวน บาง pull request ซึ่งเปิดมาให้พิจารณาการแก้ไขโค้ดในโครงการโอเพนซอร์สบางกรณีนั้นเป็นแค่การเพิ่ม newline หรือการขึ้นบรรทัดใหม่เพื่อปั่นจำนวน contribution ให้สามารถรับของรางวัลได้ หรีอในบางกรณีก็มีการเปิดแก้ไขไฟล์ README ของโครงการโอเพนซอร์สเพื่อเพิ่มคำขยะเข้ามา

หลังจากประสบการ pull request ขยะเป็นจำนวนมาก ทางผู้จัดกิจกรรม Hacktoberfest ได้มีการเพิ่มมาตรการใหม่ในการเปลี่ยนลักษณะโครงการเป็นแบบ opt-in only แล้ว โดยโครงการไหนอยากเข้าร่วมโครงการ Hacktoberfest จะต้องมีการระบุชื่อ topic เป็น "hacktoberfest" ไว้ที่ repository ของโครงการ หาก pull request ที่ถูก approve โดยเจ้าของโครงการ เจ้าของโครงการจะต้องมีการ tag "hacktoberfest-accpeted" ด้วย

อ่านข้อมูลเพิ่มเติมของกิจกรรมและเงื่อนไขของกิจกรรมอื่น ๆ ของผู้จัดกิจกรรมได้ที่แหล่งที่มาครับ

ที่มา : hacktoberfest

GitHub ได้เปิดตัวฟีเจอร์ด้านความปลอดภัยใหม่ที่ชื่อว่า Code Scanning สำหรับผู้ใช้ทุกคนทั้งในบัญชีแบบชำระเงินและบัญชีฟรี

ฟีเจอร์ด้านความปลอดภัยใหม่นี้จะช่วยสแกนหาโค้ดที่ช่องโหว่ให้ผู้ใช้งานเพื่อช่วยทำการวิเคราะห์เมื่อเกิดการส่งคำขอ Pull Requests, Commit และ Merge ซึ่งเมื่อตรวจพบช่องโหว่ Code Scanning จะทำงานโดยแจ้งเตือนให้นักพัฒนาแก้ไขโค้ดของตน

ฟีเจอร์ Code Scanning จะทำงานความสามารถของ CodeQL (Code query language) ซึ่งเป็นเทคโนโลยีของ GitHub ที่ได้นำมาใช้ในแพลตฟอร์มหลังจากทำการซื้อกิจการมาจาก Semmle ซึ่งด้วยความสามารถของ CodeQL นี้จะช่วยให้นักพัฒนาสามารถเขียน Rule เพื่อตรวจหาช่องโหว่ในโค้ดได้ในปริมาณมากๆ

หลังจากทีมงาน GitHub เปิดให้ผู้ทดสอบเบต้าทดสอบมาตั้งเเต่เดือนพฤษภาคมที่ผ่านมา โดยฟีเจอร์นี้ได้ทำการทดสอบการสแกนหาช่องโหว่ไปแล้วกว่า 1,400,000 ครั้งกับ repository จำนวน 12,000 แห่ง ซึ่งช่องโหว่ที่ถูกพบและสามารถระบุได้หลักๆ จำนวนกว่า 20,000 รายการคือ ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE), SQL Injection และ Cross-Site Scripting (XSS)

ทั้งนี้ผู้ใช้งานจะถูกแจ้งเตือนให้เปิดใช้งานฟีเจอร์ดังกล่าวหรือผู้ใช้งานสามารถเปิดการใช้งานฟีเจอร์ได้ด้วยตนเอง โดยการเข้าไปที่แท็บ ‘Security’ และในช่อง Code Scanning ให้เลือก Set up code scanning เพื่อเปิดใช้งาน

ที่มา : zdnet

 

แฮกเกอร์ปล่อยข้อมูลซอร์สโค้ด GPU ของ Xbox Series X ที่ขโมยมา

บริษัท AMD ยอมรับว่าแฮกเกอร์ได้ทำการขโมยข้อมูลซอร์สโค้ดฮาร์ดแวร์สำหรับ GPU ที่ AMD กำลังจะเปิดตัวผลิตภัณฑ์และบริษัทได้ออกแถลงการณ์ยืนยันอย่างเป็นทางการแล้ว

คำแถลงของ AMD กล่าวว่าการแฮกเกิดขึ้นในเดือนธันวาคม 2019 แฮกเกอร์ดำเนินการโดยใช้ชื่อว่า “ xxXsoullessXxx” ได้เข้ามาขโมยข้อมูลกราฟิกซีพียู “Series X” ซึ่งส่วนใหญ่ใช้ใน Xbox พร้อมกับซอร์สโค้ดของกราฟิกการ์ดที่กำลังจะใช้สำหรับคอมพิวเตอร์พีซี

ในขณะนี้ มีการปรากฎของซอร์สโค้ดบางส่วนบน GitHub ซึ่งเชื่อกันว่าแฮกเกอร์เป็นผู้เผยแพร่ข้อมูลดังกล่าว โดยซอร์สโค้ดที่ถูกปล่อยออกมานั้นเป็นซอร์สโค้ดและข้อมูลที่ได้รับการยืนยันแล้วว่าเกี่ยวข้องกับฮาร์ดแวร์ AMD Navi GPU

ยังไม่มีรายละเอียดถึงวิธีการและเทคนิคที่แฮกเกอร์ใช้ในการเข้าถึงระบบภายในและขโมยข้อมูลออกมา

ที่มา: hackread

Scotiabank ได้รับผลกระทบ หลังจากทำซอร์สโค้ดภายในและข้อมูลรั่วไหลออกสู่อินเตอร์เน็ต

Scotiabank สถาบันการเงินรายใหญ่ของแคนาดาได้ทำซอร์สโค้ดภายในรั่วไหลออกสู่ออนไลน์ โดยมีบางส่วนที่เป็นข้อมูลสำหรับเข้าสู่ระบบเบื้องหลังของธนาคาร

ข้อมูลที่รั่วนี้แสดงใน GitHub มีพิมพ์เขียวซอฟต์แวร์และคีย์เข้าถึงข้อมูลระบบอัตราแลกเปลี่ยนระหว่างประเทศ โค้ดแอปพลิเคชัน Scotiabank ที่ถูกใช้ในอเมริกากลางและอเมริกาใต้ และข้อมูลเข้าระบบสำหรับบริการและฐานข้อมูล

ข้อมูลภายใน GitHub ที่แสดงออกมาได้ถูกสันนิษฐานว่าอาจมาจากการตั้งคอนฟิกที่ผิดอย่างไม่ตั้งใจจากพนักงานของ Scotiabank เอง ซึ่งข้อมูลควรที่จะถูกลบหรือซ่อนเอาไว้

ที่มา : theregister.

แฮกเกอร์เรียกค่าไถ่แลกกับการไม่เปิด git repository เป็นสาธารณะ หากผู้ที่ตกเป็นเหยื่อไม่ชำระเงินใน 10 วัน

แฮกเกอร์อ้างว่าซอร์สโค้ดทั้งหมดได้รับการดาวน์โหลดและเก็บไว้ในเซิร์ฟเวอร์ตัวใดตัวหนึ่งแล้วให้เหยื่อจ่ายเงินค่าไถ่ 10 วัน ชำระเงินเป็น 0.1 Bitcoin (~ $ 570) มิฉะนั้นพวกเขาจะทำให้ซอร์สโค้ดเป็นสาธารณะ การโจมตีครั้งนี้เกิดกับหลายๆ บริการโฮสติ้ง Git ทั้ง GitHub Bitbucket และ GitLab และยังไม่ชัดเจนว่าเกิดขึ้นได้อย่างไร
โดยแฮกเกอร์จะลบซอร์สโค้ดทั้งหมดและ commit ล่าสุดจากบริการโฮสติ้ง Git ของเหยื่อ

จากการสำรวจของ GitHub พบว่า git repository บน GitHub อย่างน้อย 392 แห่งได้ถูกเรียกค่าไถ่แล้ว และจากข้อมูลของ BitcoinAbuse.

GitHub ได้นำเสนอความสามารถใหม่เพื่อช่วยสแกนโทเค็นใน repository สาธารณะและแจ้งเตือน

GitHub ประกาศคุณลักษณะด้านความปลอดภัยใหม่ๆ เมื่อวันอังคารที่ผ่านมา ซึ่งมีจุดมุ่งหมายเพื่อช่วยให้นักพัฒนาซอฟต์แวร์ปลอดภัยจากช่องโหว่ และช่วยให้เก็บข้อมูลที่สำคัญ เช่น โทเค็นการเข้าถึง และ code ที่ไม่เปิดเผยต่อสาธารณะได้ปลอดภัยขึ้น ล่าสุดบริษัทได้ประกาศความสามารถใหม่ที่จะช่วย scan โทเค็น และ credential ใน repository สาธารณะ ที่ใช้สำหรับบริการของ cloud อย่างเช่น AWS, Azure, Google, Slack และ GitHub เอง โดยอาจจะเป็น private key ที่เกี่ยวข้องกับบัญชีผู้ใช้งานของ GitHub ที่ยังไม่ถูกเข้ารหัส ซึ่งเพิ่มเติมมาจากของเดิมที่ช่วย scan เพียงแค่โทเค็นของ GitHub OAuth และโทเค็นส่วนตัวเท่านั้น

การเปิดเผยโทเค็นไว้ในแหล่งข้อมูลสาธารณะนั้นถือว่าเป็นปัญหาใหญ่มาก เนื่องจากผู้ที่ได้ไปนั้นจะสามารถเข้าถึงข้อมูลที่ไม่ต้องการเปิดเผยได้อย่างง่ายดาย ซึ่งประเด็นนี้ถูกหยิบยกมาพูดถึงหลังจากเมื่อเดือนที่แล้ว Facebook พบกับปัญหาด้านความปลอดภัย ที่ส่งผลให้แฮกเกอร์สามารถขโมยโทเค็นสำหรับเข้าถึงบัญชีไปได้อย่างมากมาย นักพัฒนาซอฟต์แวร์ที่ใช้ GitHub อาจเผลอใส่ข้อมูลโทเค็นสำคัญไว้ใน code ที่เปิดเป็นสาธารณะเอาไว้ เมื่อ scan เจอจะมีการแจ้งให้ผู้ให้บริการของโทเค็นรับทราบ เพื่อสร้างโทเค็นใหม่ และแจ้งให้แก่ผู้ใช้งาน

นอกจากนี้ยังมีการประกาศ Security Advisory API ซึ่งจะรวมข้อมูลความปลอดภัยจากแหล่งต่างๆ และช่วยในการอัพเดตให้หากเป็นปัญหาที่เกี่ยวข้อง Project ต่างๆ บนแพลตฟอร์มของ GitHub โดย API จะช่วยให้ผู้ใช้สามารถทำการอัพเดตความปลอดภัยต่างๆ บน Project ของตนเองได้ง่ายขึ้น นอกจากนี้ยังได้เพิ่มเติมการแจ้งช่องโหว่ด้านความปลอดภัยสำหรับภาษา Java และ .NET ซึ่งก่อนหน้านี้รองรับแค่ JavaScript, Ruby และ Python เท่านั้น

ที่มา:cyberscoop

ทีมนักวิจัย security เปิดเผยช่องโหว่ zero-day ที่ยังไม่ได้รับการแพตช์ของระบบปฏิบัติการ windows หลังจากที่ Microsoft ไม่สามารถออกแพตช์เพื่อแก้ไขได้ทันภายใน 120 วันที่ทีมนักวิจัยตั้งเส้นตายไว้

จากการค้นพบของ Lucas Leong ทีมวิจัยของ Trend Micro ช่องโหว่ zero-day ดังกล่าวอยู่ภายใน Microsoft Jet Database Engine มันสามารถทำให้ผู้โจมตีสามารถโจมตีแบบ Remote execution ได้ Microsoft JET Database Engine หรือที่เรียกง่ายๆ ว่า simply JET (Joint Engine Technology) คือเครื่องมือที่คอยจัดการฐานข้อมูลที่มีความซับซ้อนอยู่ภายในหลายผลิตภัณฑ์ของ Microsoft รวมไปถึง Microsoft Access และ Visual Basic จากคำแนะนำของ Zero Day Initiative (ZDI) ช่องโหว่ดังกล่าวเป็นปัญหาเกี่ยวกับการจัดการ index ภายใน Jet database engine ถ้าสามารถ exploit สำเร็จจะทำให้สามารถเขียน out-of-bounds memory ได้ ทำให้เกิดการ remote code execution ทั้งนี้ผู้โจมตีจะต้องโน้มน้าวเหยื่อให้เปิดไฟล์ JET database ที่ถูกสร้างมาเพื่อใช้โจมตีช่องโหว่

นักวิจัย ZDI อ้างว่าช่องโหว่มีอยู๋ใน Windows ทุกเวอร์ชันที่ยังได้รับการ support อยู่ นั่นคือ Windows 10, Windows 8.1, Windows 7 และ Windows Server Edition 2008 ถึง 2016 ทั้งนี้มีการเผยแพร่ Proof of concept โค้ดแล้วบน GitHub อย่างไรก็ตาม Microsoft กำลังพัฒนาแพตช์ของช่องโหว่ แต่เนื่องจากไม่ได้อยู่ในแพตช์เดือนกันยายน จึงคาดวาช่องโหว่จะถูกแก้ไขในแพตช์เดือนตุลาคมแทน ซึ่ง Trend Micro แนะนำให้ผู้ที่ได้รับผลกระทบทุกคนใช้งานเฉพาะไฟล์ที่เชื่อถือได้เท่านั้นจนกว่า Microsoft จะทำการออกแพตช์

ที่มา : thehackernews

Source Code ของ Snapchat Social Media ที่ได้รับความนิยม ถูกแฮกเกอร์นำมาโพสไว้บน GitHub

GitHub Account ที่ชื่อว่า Khaled Alshehri (i5xx) ซึ่งอ้างว่ามาจากปากีสถาน ได้สร้างพื้นที่เก็บข้อมูล GitHub ที่เรียกว่า Source-Snapchat พร้อมคำอธิบายว่า "Source Code for SnapChat" และเผยแพร่โค้ดที่อ้างว่าเป็นแอพพลิเคชั่น Snapchat บน iOS

บริษัท Snap ได้ติดต่อไปยัง GitHub เพื่อใช้สิทธิ์ดำเนินการตามลิขสิทธิ์ Digital Millennium Copyright Act (DMCA) ในการลบที่เก็บข้อมูล Source Code ของ Snapchat

Snap ยืนยันว่าโค้ดได้ถูกลบออกไปแล้วและไม่กระทบกับแอพพลิเคชั่น แต่พบผู้ใช้ Twitter 2 ราย (คนหนึ่งอยู่ในปากีสถานและอีกคนหนึ่งอยู่ในประเทศฝรั่งเศส) ซึ่งเชื่อว่าเป็นผู้สร้าง i5xx GitHub Account ระบุว่าได้มีการแจ้งไปยัง Snapchat เกี่ยวกับ Source Code และ Bug โดยคาดว่าจะได้รับรางวัลจาก Snap แต่กลับไม่ได้รับการตอบสนองใดๆ จึงทำการขู่ว่าจะอัพโหลด Source Code ของ Snapchat อีกครั้งจนกว่าจะได้รับคำตอบจาก Snapchat

ที่มา : hackread