เครือข่าย botnet Glassworm ซึ่งมีเป้าหมายโจมตีกลุ่มนักพัฒนาซอฟต์แวร์ผ่าน software supply-chain attacks ถูกทำลายลงแล้วหลังจากที่นักวิจัยได้ takedown C2 infrastructure ซึ่งระบบดังกล่าวอาศัยการทำธุรกรรมบนบล็อกเชน Solana และเครือข่าย BitTorrent DHT ในการทำงาน (more…)

นักวิจัยด้านความปลอดภัยไซเบอร์พบแพ็กเกจอันตรายบน PyPI ที่แอบอ้างว่าเป็นแอปพลิเคชันที่เกี่ยวข้องกับบล็อกเชน Solana แต่จริง ๆ แล้วมันมีฟังก์ชันที่ออกแบบมาเพื่อขโมยซอร์สโค้ด และข้อมูลที่เป็นความลับของนักพัฒนา แพ็กเกจนี้ชื่อว่า solana-token ซึ่งปัจจุบันไม่สามารถดาวน์โหลดได้จาก PyPI แล้ว แต่แพ็กเกจนี้ถูกดาวน์โหลดไปแล้วถึง 761 ครั้ง โดยพบว่าแพ็กเกจนี้ถูกเผยแพร่ครั้งแรกในเดือนเมษายน 2024 โดยใช้ระบบการตั้งเวอร์ชันที่แตกต่างจากมาตรฐานทั่วไป

เมื่อถูกติดตั้ง แพ็กเกจอันตรายจะพยายามขโมยซอร์สโค้ด และข้อมูลที่เป็นความลับของนักพัฒนาจากเครื่องของนักพัฒนาไปยัง IP Address ที่กำหนดไว้ล่วงหน้า โดยเฉพาะแพ็กเกจนี้จะคัดลอก และขโมยซอร์สโค้ดจากไฟล์ทั้งหมดในสแต็กของการประมวลผล Python โดยอ้างว่าเป็นฟังก์ชันบล็อกเชนที่ชื่อ "register_node()" พฤติกรรมที่ผิดปกตินี้แสดงให้เห็นว่าผู้โจมตีอาจมุ่งเป้าไปที่การขโมยข้อมูลลับที่เกี่ยวข้องกับคริปโต ซึ่งอาจถูกตั้งค่าไว้ล่วงหน้าในระหว่างการพัฒนาโปรแกรมที่มีฟังก์ชันอันตรายนี้อยู่

นักพัฒนาที่ต้องการสร้างบล็อกเชนของตัวเองน่าจะเป็นกลุ่มเป้าหมายของผู้โจมตีที่อยู่เบื้องหลังแพ็กเกจนี้ ซึ่งการประเมินนี้อ้างอิงจากชื่อแพ็กเกจ และฟังก์ชันที่ถูกสร้างไว้ภายใน.

วิธีการที่แพ็กเกจนี้ถูกเผยแพร่ไปยังผู้ใช้งานยังไม่เป็นที่แน่ชัด แต่มีความเป็นไปได้ว่าแพ็กเกจนี้อาจถูกโปรโมทในแพลตฟอร์มที่มุ่งเน้นไปยังนักพัฒนา

การค้นพบนี้แสดงให้เห็นว่า สกุลเงินดิจิทัลยังคงเป็นเป้าหมายหลักของผู้โจมตี ซึ่งทำให้การตรวจสอบแพ็กเกจทุกตัวอย่างละเอียดก่อนใช้งานเป็นสิ่งที่นักพัฒนาควรให้ความสำคัญ

Zanki ระบุว่า ทีมพัฒนาควรเฝ้าระวังการดำเนินการที่น่าสงสัย หรือการเปลี่ยนแปลงที่ไม่สามารถอธิบายได้ทั้งในซอฟต์แวร์โอเพนซอร์ส และซอฟต์แวร์เชิงพาณิชย์ของ third-party เพื่อป้องกันการโจมตีแบบ supply chain การหยุดโค้ดที่เป็นอันตรายก่อนที่จะเข้าสู่ระบบ, การพัฒนาระบบอย่างปลอดภัย จะช่วยให้ทีมสามารถป้องกันความเสียหายได้

ที่มา : thehackernews

พบการโจมตีแบบ Supply Chain Attack ในเวอร์ชัน 1.95.6 และ 1.95.7 ของไลบรารี '@solana/web3.js' ที่ได้รับการดาวน์โหลดไปแล้วมากกว่า 350,000 ครั้งต่อสัปดาห์ จาก npm

เวอร์ชันที่ถูกโจมตีเหล่านี้มีการฝังโค้ดที่เป็นอันตรายที่ออกแบบมาเพื่อขโมย private keys จากนักพัฒนา และผู้ใช้งานที่ไม่ระมัดระวัง ซึ่งอาจทำให้ผู้โจมตีสามารถดึงเงินคริปโทเคอร์เรนซีจากกระเป๋าเงินของผู้ใช้งานได้

(more…)