มีการตรวจพบแพ็กเกจอันตรายสองรายการใน crate repository อย่างเป็นทางการของ Rust ซึ่งมียอดดาวน์โหลดรวมเกือบ 8,500 ครั้ง โดยแพ็กเกจเหล่านี้ถูกออกแบบมาเพื่อแอบสแกนระบบของนักพัฒนา และขโมย cryptocurrency private keys รวมถึงข้อมูลสำคัญอื่น ๆ ในเครื่อง

Rust crates ถูกจัดเก็บ และเผยแพร่ผ่าน Crates.

การโจมตีแบบ supply chain attack ครั้งนี้ เกิดขึ้นจากการที่แฮ็กเกอร์ใช้วิธีการฟิชชิ่งเพื่อเข้าถึงบัญชีของผู้ดูแลแพ็กเกจ ก่อนจะฝังมัลแวร์ลงในแพ็กเกจ NPM ซึ่งมียอดดาวน์โหลดรวมสูงถึง 2.6 พันล้านครั้งต่อสัปดาห์

Josh Junon (qix) ผู้ดูแลแพ็กเกจที่ตกเป็นเป้าหมายในการโจมตีแบบ supply chain attack ครั้งนี้ ได้ออกมายืนยันเมื่อวันที่ 8 กันยายน 2025 ว่า บัญชีของเขาถูกเข้าถึง โดยเปิดเผยว่า แฮ็กเกอร์ส่งอีเมลฟิชชิงมาจากที่อยู่อีเมล support [at] npmjs [dot] help ซึ่งเป็นโดเมนของเว็บไซต์ที่ปลอมเป็น npmjs.

CoinMarketCap ซึ่งเป็นเว็บไซต์ติดตามราคาคริปโตชื่อดัง ถูกโจมตีทางไซเบอร์ผ่านช่องโหว่ในลักษณะ supply chain attack ของเว็บไซต์ ส่งผลให้ผู้ใช้งานที่เข้าชมเว็บไซต์ตกเป็นเป้าหมายของแคมเปญหลอกลวงเพื่อขโมยคริปโตจาก wallet (more…)

ผู้ดูแล Python Package Index (PyPI) ได้ทำการ Quarantined แพ็กเกจ "aiocpa" หลังจากพบว่าการอัปเดตใหม่มีการเพิ่มโค้ดที่เป็นอันตรายสำหรับขโมย private keys ผ่าน Telegram (more…)

Microsoft ระบุว่ากลุ่ม Lazarus ** กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือได้โจมตีบริษัท CyberLink บริษัทซอฟต์แวร์ของไต้หวัน และติดตั้งโทรจันเพื่อใช้ในการโจมตีแบบ supply chain attack กับเหยื่อรายใหญ่ ๆ ทั่วโลก จากข้อมูลของ Microsoft Threat Intelligence พฤติกรรมต้องสงสัยเกี่ยวข้องกับไฟล์ติดตั้งของ CyberLink ที่ถูกเปลี่ยนแปลงแก้ไข ซึ่งเกิดขึ้นตั้งแต่วันที่ 20 ตุลาคม 2023

(more…)

Kaspersky เปิดเผยรายงานการพบ Gopuram Malware ซึ่งเป็นมัลแวร์ที่ถูกใช้ในการโจมตี 3CX supply chain attack โดยพบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปที่บริษัททางด้าน cryptocurrency

การโจมตี 3CX supply chain attack เกิดขึ้นจากการที่ Hacker ได้โจมตีระบบของ 3CX และทำการฝัง DLL สองตัวที่เป็นอันตราย คือ ffmpeg.

พบช่องโหว่การแก้ไข 'opt-in' ใน Windows ที่มีอายุกว่า 10 ปี ถูกใช้ในการโจมตี 3CX เมื่อวันที่ 29 มีนาคม 2023 ที่ผ่านมา โดยช่องโหว่ดังกล่าวสามารถแก้ไขปลอมแปลง ไฟล์อันตรายให้กลายเป็นไฟล์ที่ได้รับการรับรองอย่างถูกต้อง และพบการแก้ไขเพื่อป้องกันช่องโหว่ดังกล่าวจะถูกลบออกเมื่อทำการอัปเดตเป็น Windows 11

โดยเมื่อวันที่ 29 มีนาคม 2023 ที่ผ่านมา เกิดเหตุการณ์การโจมตีในรูปแบบ supply chain attack โดยเริ่มต้นจากการโจมตีไปที่ 3CX บริษัทด้าน VoIP IPBX software หลังจากนั้นก็ทำการส่ง 3CX desktop client ที่ถูกฝังมัลแวร์ไปยังลูกค้าที่ใช้บริการ (more…)

Sophos และ CrowdStrike ได้ประกาศการพบการโจมตีใน 3CX Voice Over Internet Protocol (VOIP) desktop client ที่ถูกฝังโทรจัน เพื่อมุ่งเป้าหมายการโจมตีไปยังลูกค้าของ 3CX VOIP ในลักษณะ supply chain attack

3CX เป็นบริษัทพัฒนาซอฟต์แวร์ VoIP IPBX ซึ่งระบบโทรศัพท์ 3CX ถูกใช้งานโดยบริษัทมากกว่า 600,000 แห่งทั่วโลก และมีผู้ใช้มากกว่า 12 ล้านคนต่อวัน โดยมีลูกค้าที่ใช้บริการประกอบไปด้วยบริษัท และองค์กรชั้นนำมากมาย เช่น American Express, Coca-Cola, McDonald's, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA และ National Health Service (more…)

สรุปรายละเอียดของช่องโหว่

ช่องโหว่เกิดขึ้นบน undocumented API ที่เกี่ยวข้องกับการเขียน Image
ช่องโหว่ทำให้สามารถแก้ไข้ Public ECR images ของ AWS account ใดก็ได้
ช่องโหว่ทำให้สามารถใช้โจมตี Image ที่เป็นนิยมเช่น Nginx, Amazon Linux, Ubuntu เพื่อใช้โจมตีแบบ Supply chain attack ได้

Amazon ECR Public Gallery เป็น public container repositories ให้บริษัทต่าง ๆ สามารถนำ Container Image มา Host เพื่อให้บริการกับลูกค้าเช่น NGINX, Ubuntu, Amazon Linux และ HashiCorp

นักวิจัยจาก Lightspin ค้นหา Internal API action ใน Amazon ECR Public Gallery JavaScript File พบว่ามี Action Name บางตัวที่ไม่ได้ถูก Document ไว้ และเป็น Action ที่เกียวข้องกับการเขียน Image 4 ตัวดังนี้

- DeleteImageForConvergentReplicationInternal
- DeleteTagForConvergentReplicationInternal
- PutImageForConvergentReplicationInternal
- PutLayerForConvergentReplicationInternal

แต่ว่า Internal API จำเป็นต้องมี identity credentials นักวิจัยจึงทำการ Intercept ECR Public Gallery request พบว่า ECR Public Gallery ใช้ credentials ที่ได้มาจาก API ของ Amazon Cognito

Amazon Cognito เป็น service ทีช่วยเรื่องการ authentication เพื่อให้ user สามารถเข้าใช้ resources บน AWS ได้ โดยที่ API ในการ Get Credentials เป็น Public API ทำให้นักวิจัยสามารถนำ Credentials นี้ไปใช้กับ ECR Internal API ได้

นักวิจัยจึงทำการทดลองส่ง Internal API 4 ตัวดังกล่าว ทำให้พบว่า Credentials ที่ได้มาจาก Cognito มีสิทธ์เขียน Public Image ใด ๆ ก็ได้ ชึ่งทำให้ช่องโหว่นี้อาจนำมาใช้โจมตีแบบ Supply chain attack กับ Public Image ที่มีผู้ใช้งานหลายล้านคนได้ ทาง Lightspin จึงได้รายงานช่องโหว่นี้กับทีม AWS Security

วิธีแก้ไข:

AWS ได้ทำการแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว โดยที่ผู้ใช้งานไม่ต้องดำเนินการใด ๆ

ที่มา: blog.

GitHub จะกำหนดให้ผู้ใช้งานทุกคนที่เผยแพร่ code บนแพลตฟอร์ม เปิดการใช้งาน Two-factor authentication (2FA) เป็นมาตรการป้องกันเพิ่มเติมบนบัญชีภายในสิ้นปี 2566

ซึ่ง Two-factor authentication จะช่วยเพิ่มความปลอดภัยให้กับบัญชีผู้ใช้ด้วยการเพิ่มขั้นตอนในกระบวนการเข้าสู่ระบบ

สำหรับผู้ใช้งาน GitHub การถูกเข้าถึงบัญชีผู้ใช้งาน สามารถนำไปสู่การเผยแพร่โค้ดที่เป็นอันตรายสำหรับใช้ในการโจมตีในรูปแบบ supply chain attacks ซึ่งขึ้นอยู่กับความนิยมของแต่ละ project โดยบางกรณีอาจมีผลกระทบในวงกว้างได้

การกำหนดให้มีการเปิดใช้งาน 2FA เป็นมาตรการที่จำเป็นสำหรับบัญชี GitHub ทุกบัญชี โดยจะทำให้แพลตฟอร์ม GitHub เป็นพื้นที่ที่ปลอดภัยมากขึ้น ซึ่งจะทำให้ผู้ใช้งานมั่นใจมากขึ้นเกี่ยวกับความปลอดภัยของโค้ดที่ดาวน์โหลดจากแพลตฟอร์ม

เมื่อต้นปีทีผ่านมา GitHub เคยประกาศถึงการตัดสินใจให้ผู้พัฒนา Project ที่มีผลกระทบสูง และมีการดาวน์โหลดมากกว่าหนึ่งล้านครั้งต่อสัปดาห์ต้องมีการเปิดใช้งาน 2FA

ซึ่งการกำหนดให้มีการเปิด 2FA สำหรับผู้ใช้งานทั้งหมดจะครอบคลุมผู้ใช้ประมาณ 83 ล้านคน

การออกข้อกำหนด 2FA

GitHub จะกำหนดให้มีการเปิด 2FA บนบัญชี GitHub ทุกบัญชีตั้งแต่เดือนมีนาคม 2566 โดยในตอนแรกจะผลักดันให้บัญชีผู้ใช้งานที่อยู่ในกลุ่มผู้เผยแพร่ข้อมูลเริ่มดำเนินการก่อน

หลังจากนั้นจะทำการประเมินผลก่อนที่จะขยายไปสู่กลุ่มผู้ใช้งานที่ใหญ่ขึ้น

GitHub กล่าวว่ากลุ่มของผู้ใช้งานที่จะเริ่มดำเนินการจะถูกแบ่งโดยใช้เกณฑ์ดังต่อไปนี้ :

ผู้ใช้ที่เผยแพร่แอป หรือแพ็กเกจ GitHub หรือ OAuth
ผู้ใช้ที่มีการสร้าง code เวอร์ชันใหม่ ๆ
ผู้ใช้ที่เป็นผู้ดูแลองค์กร และองค์กร
ผู้ใช้ที่ contributed code ไปยัง repositories สำคัญ ๆ เช่น npm, OpenSSF, PyPI, หรือ RubyGems
ผู้ใช้ที่ contributed code ไปยัง repositories สาธารณะ และส่วนตัวประมาณสี่ล้านอันดับแรก

โดยผู้ที่ได้รับแจ้งล่วงหน้าเพื่อเปิดการใช้งาน 2FA ผ่านทางอีเมล จะมีระยะเวลา 45 วันในการดำเนินการ เมื่อครบกำหนดเวลา ผู้ใช้งานจะเริ่มเห็นคำแนะนำในการเปิดใช้งาน 2FA บน GitHub อีก 1 สัปดาห์ และหากยังไม่ดำเนินการ ก็จะถูกบล็อกไม่ให้เข้าถึงฟีเจอร์ของ GitHub ได้

โดย 28 วันหลังจากเปิดใช้งาน 2FA ผู้ใช้งานจะต้องผ่านการตรวจสอบเพื่อยืนยันการตั้งค่าความปลอดภัยใหม่ รวมถึงจะทำให้ผู้ใช้งานสามารถกำหนดการตั้งค่า 2FA ใหม่ และสามารถกู้คืนรหัสที่หายไปได้

ที่มา : bleepingcomputer