ความปลอดภัยไซเบอร์

แพ็กเกจ npm ของ Red Hat โดนเจาะ: กว่า 30 รีโปส่งมัลแวร์ขโมยข้อมูลรับรองคลาวด์

2 มิถุนายน 2569อ่าน 6 นาที

By ลีนา เปตรอฟ — ประสบการณ์ 8 ปีในการรีวิวเทคโนโลยีสำหรับผู้บริโภค

แพ็กเกจ npm ของ Red Hat โดนเจาะ: กว่า 30 รีโปส่งมัลแวร์ขโมยข้อมูลรับรองคลาวด์

แคมเปญโจมตีซัพพลายเชน npm ที่ประสานงานกันเพื่อขโมยข้อมูลรับรองคลาวด์ได้พุ่งเป้าไปที่ชื่อที่รู้จักกันดีที่สุดในซอฟต์แวร์องค์กร แฮกเกอร์ไม่ทราบชื่อได้เจาะแพ็กเกจ npm ของ Red Hat Cloud Services กว่า 30 แพ็กเกจ โดยเริ่มจากการยึดบัญชี GitHub ของพนักงาน Red Hat จากนั้นใช้สิทธิ์นั้นเพื่อส่งคอมมิทที่เป็นอันตราย มัลแวร์ที่ฝังอยู่ในแพ็กเกจเหล่านี้ ซึ่งระบุว่าเป็นสายพันธุ์ย่อยของ 'Mini Shai-Hulud' จะทำงานโดยอัตโนมัติในขณะติดตั้งและเริ่มขโมยข้อมูลรับรองคลาวด์ทันที รวมถึงคีย์เข้าถึง AWS, GCP และ Azure ตลอดจนคีย์ SSH และไฟล์การตั้งค่า Kubernetes

เหตุการณ์นี้โดดเด่นไม่ใช่เพราะจุดอ่อนของ npm เอง แต่เพราะวิธีการที่แฮกเกอร์เข้ามา: ผ่านข้อมูลประจำตัวนักพัฒนาที่ถูกต้องและน่าเชื่อถือ

แพ็กเกจ npm ของ Red Hat ถูกเจาะได้อย่างไร

ห่วงโซ่การโจมตีเริ่มต้นจากการเจาะบัญชี GitHub เพียงบัญชีเดียวของพนักงาน Red Hat เมื่อเข้าไปในบัญชีนั้นแล้ว แฮกเกอร์ก็มีสิทธิ์พอที่จะส่งโค้ดโดยตรงไปยังรีโปที่เชื่อมโยงกับแพ็กเกจ npm ของ Red Hat Cloud Services เนื่องจากคอมมิทมาจากบัญชีผู้สนับสนุนที่รู้จัก ระบบอัตโนมัติและผู้ตรวจสอบโค้ดต้องเผชิญกับอุปสรรคที่สูงขึ้นมากในการตรวจจับสิ่งผิดปกติ

นี่คือลักษณะเด่นของการโจมตีซัพพลายเชนซอฟต์แวร์: เพย์โหลดที่เป็นอันตรายเดินทางไปกับซอฟต์แวร์ที่ถูกต้อง มีการเซ็นชื่อและส่งผ่านช่องทางที่เชื่อถือได้ นักพัฒนาที่ติดตั้งหรืออัปเดตแพ็กเกจที่ได้รับผลกระทบในช่วงเวลาที่ถูกเจาะจะรันมัลแวร์บนระบบของตัวเองโดยไม่รู้ตัว โดยไม่มีคำเตือนที่ชัดเจน แพ็กเกจเหล่านี้ยังคงทำงานได้ตามปกติ ทำให้ตรวจจับได้ยากยิ่งขึ้น

สายพันธุ์มัลแวร์ 'Mini Shai-Hulud' ถูกออกแบบมาให้ทำงานตอนติดตั้ง ในตอนที่นักพัฒนาพิมพ์ npm install มันไม่รอให้แอปพลิเคชันเริ่มทำงานหรือให้ผู้ใช้โต้ตอบด้วย วิธีการนี้ลดช่วงเวลาระหว่างการติดเชื้อและการส่งออกข้อมูลลงอย่างมาก

ข้อมูลรับรองใดบ้างที่ถูกขโมยและทำไมถึงสำคัญ

รายชื่อเป้าหมายของมัลแวร์อ่านเหมือนรายการตรวจสอบสิ่งที่สร้างความเสียหายมากที่สุดที่แฮกเกอร์ดึงออกมาจากเวิร์กสเตชันของนักพัฒนาหรือรันเนอร์ CI/CD ได้ ไฟล์ข้อมูลรับรองของ AWS, Google Cloud Platform และ Azure คือเป้าหมายหลัก เนื่องจากคีย์เหล่านี้มักมีสิทธิ์กว้างขวางในโครงสร้างพื้นฐานสำหรับโปรดักชัน ส่วนคีย์ส่วนตัว SSH และไฟล์การตั้งค่า Kubernetes ก็ช่วยเติมเต็มของที่ขโมยไปได้ ทำให้แฮกเกอร์มีเส้นทางเคลื่อนที่ด้านข้างเข้าไปในเครือข่ายภายในและคลัสเตอร์ออร์เคสตราเทรนคอนเทนเนอร์

สำหรับองค์กรที่ใช้ระบบ build pipeline แบบอัตโนมัติ ความเสี่ยงจะขยายมากขึ้น ระบบ CI/CD มักเก็บข้อมูลรับรองคลาวด์อายุการใช้งานยาวนานไว้เป็นตัวแปรสภาพแวดล้อมหรือซีเคร็ตที่เมาท์ไว้ รันเนอร์ build ที่ติดเชื้อเพียงตัวเดียวอาจส่งมอบคีย์ที่ควบคุมสภาพแวดล้อมคลาวด์ทั้งหมดอย่างเงียบๆ ซึ่งอาจเปิดทางให้เกิดการขโมยข้อมูล การปล่อยแรนซัมแวร์ หรือการเข้าถึงแบบแบ็กดอร์ถาวร

นี่คือเหตุผลที่ทีมรักษาความปลอดภัยควรตระหนักว่าจุดเริ่มต้นในซัพพลายเชนมักเชื่อมโยงไปสู่การเจาะระบบที่ลึกขึ้น การที่ CISA ชี้เป้า CVE-2026-31431 ซึ่งเป็นช่องโหว่ยกระดับสิทธิ์บน Linux เป็นเครื่องเตือนใจโดยตรง: แฮกเกอร์ที่เข้ามาอยู่ในระบบด้วยข้อมูลรับรองที่ถูกขโมยหรือการเข้าถึงเบื้องต้นมักไม่หยุดอยู่แค่นั้น พวกเขามองหาจุดเชื่อมต่อไปเรื่อยๆ

เหตุใดการโจมตีซัพพลายเชนจึงเป็นจุดบอดของระบบความปลอดภัยมาตรฐาน

เครื่องมือความปลอดภัยแบบดั้งเดิมถูกสร้างขึ้นบนสมมติฐานว่าโค้ดจากภายนอก ไม่ได้เซ็นชื่อ หรือไม่รู้จักคือภัยคุกคาม ไฟร์วอลล์ เอเจนต์ตรวจจับปลายทาง และสแกนเนอร์แบบลายเซ็นถูกปรับแต่งให้ตรวจจับสิ่งผิดปกติ การโจมตีซัพพลายเชนบิดเบือนโมเดลดังกล่าวโดยซ่อนตัวอยู่ในซอฟต์แวร์ที่มีลายเซ็นถูกต้องและมาถึงผ่านช่องทางที่คาดหวัง

ในกรณีนี้ แบรนด์ Red Hat และประวัติบัญชี GitHub ที่เกี่ยวข้องคงทำให้แพ็กเกจที่ถูกเจาะได้รับความไว้วางใจโดยปริยายในระดับสูง นักพัฒนาที่ทำงานบนโครงสร้างพื้นฐานใกล้ชิดกับ Red Hat อาจติดตั้งแพ็กเกจเหล่านี้เพราะคาดหวังว่ามันจะได้รับการดูแลอย่างดีและปลอดภัย

เครื่องมือสแกนดีเพนเดนซีมาตรฐานที่ตรวจสอบเวอร์ชันที่มีช่องโหว่ที่รู้จักจะไม่สามารถตรวจจับมัลแวร์ขโมยข้อมูลตอนติดตั้งได้ เว้นแต่เวอร์ชันที่เป็นอันตรายนั้นจะถูกขึ้นบัญชีในฐานข้อมูลช่องโหว่แล้ว การโจมตีนี้ใช้ประโยชน์จากช่องว่างระหว่างการตรวจจับแบบ "รู้ว่าอันตราย" และการวิเคราะห์พฤติกรรม

การป้องกันหลายชั้น: การจัดการซีเคร็ต, การแบ่งกลุ่มเครือข่าย และ VPN

ไม่มีมาตรการเดียวใดที่จะหยุดยั้งการโจมตีซัพพลายเชนที่ซับซ้อนได้ แต่การป้องกันหลายชั้นช่วยลดรัศมีความเสียหายได้อย่างมาก

การจัดการซีเคร็ตแทนไฟล์ข้อมูลรับรองภายในเครื่อง วิธีลดผลกระทบที่มีประสิทธิภาพที่สุดคือการกำจัดไฟล์ข้อมูลรับรองแบบคงที่ออกจากเครื่องของนักพัฒนาและรันเนอร์ CI/CD ทั้งหมด เครื่องมือที่ออกข้อมูลรับรองชั่วคราวแบบทันเวลา (just-in-time) ทำให้แม้ว่าข้อมูลรับรองจะถูกขโมย แต่ก็จะหมดอายุก่อนที่แฮกเกอร์จะนำไปใช้ได้อย่างมีนัยสำคัญ

การปักหมุดดีเพนเดนซีและการตรวจสอบความสมบูรณ์ การล็อกแพ็กเกจไว้กับแฮชคอมมิทที่ตรวจสอบแล้วแทนที่จะใช้ช่วงเวอร์ชันลอยตัว จำกัดความเสี่ยงจากการเปลี่ยนแปลงโค้ดที่คาดไม่ถึง การรวมขั้นตอนนี้เข้ากับการตรวจสอบความสมบูรณ์ของเนื้อหาแพ็กเกจโดยอัตโนมัติจะเพิ่มชั้นการตรวจจับอีกขั้น

การแบ่งกลุ่มเครือข่ายและการกรองขาออก มัลแวร์ Mini Shai-Hulud จำเป็นต้องส่งข้อมูลที่ขโมยมาไปที่ไหนสักแห่ง การจำกัดการเชื่อมต่อขาออกจากสภาพแวดล้อม build และเครื่องนักพัฒนาให้ไปยังปลายทางที่รู้จักสามารถป้องกันการส่งออกข้อมูลได้ แม้ว่ามัลแวร์จะทำงานสำเร็จก็ตาม VPN และสถาปัตยกรรมเครือข่ายแบบ zero-trust สามารถบังคับใช้นโยบายขาออกเหล่านี้ได้อย่างสม่ำเสมอทั่วทั้งทีมที่กระจายตัว

การพิสูจน์ตัวตนหลายปัจจัยในทุกบัญชีนักพัฒนา จุดเริ่มต้นของการเจาะระบบครั้งนี้คือการยึดบัญชี GitHub มาตรการ MFA ที่แข็งแกร่ง โดยเฉพาะคีย์ความปลอดภัยแบบฮาร์ดแวร์หรือการยืนยันตัวตนแบบ passkey ทำให้การขโมยบัญชียากขึ้นอย่างมาก

การเฝ้าระวังพฤติกรรมใน pipeline CI/CD การแจ้งเตือนเมื่อมีคำค้นหา DNS หรือการเชื่อมต่อเครือข่ายขาออกที่ไม่คาดคิดในระหว่างขั้นตอน build สามารถเผยให้เห็นมัลแวร์ที่ทำงานตอนติดตั้งได้ ก่อนที่ข้อมูลรับรองที่ถูกขโมยจะถูกนำไปใช้

สิ่งนี้หมายความว่าอย่างไรสำหรับคุณ

หากสภาพแวดล้อมการพัฒนาหรือปฏิบัติการของคุณพึ่งพาแพ็กเกจ npm ของ Red Hat Cloud Services สิ่งสำคัญอันดับแรกคือการตรวจสอบว่าใช้แพ็กเกจเวอร์ชันใดอยู่ ตรวจหาสัญญาณการเจาะในบันทึกเครือข่ายรอบเหตุการณ์การติดตั้ง และหมุนเวียนข้อมูลรับรองคลาวด์ทั้งหมดที่อาจเคยอยู่บนระบบที่ได้รับผลกระทบ

ในมุมกว้าง เหตุการณ์นี้เป็นตัวกระตุ้นให้ทบทวนสุขอนามัยข้อมูลรับรองคลาวด์ของคุณตั้งแต่ต้นจนจบ มีการเก็บข้อมูลรับรองเป็นไฟล์บนเครื่องนักพัฒนาหรือไม่? ตัวแปรสภาพแวดล้อม CI/CD ถูกจำกัดขอบเขตด้วยสิทธิ์ขั้นต่ำหรือไม่? มีการบังคับใช้ MFA ในทุกบัญชีที่มีสิทธิ์เผยแพร่แพ็กเกจหรือไม่?

การโจมตีซัพพลายเชนประสบความสำเร็จด้วยการใช้ประโยชน์จากความไว้วางใจ มาตรการตอบโต้คือการสร้างระบบที่ไม่พึ่งพาความไว้วางใจโดยปริยายเพียงอย่างเดียว ข้อมูลประจำตัวที่ตรวจสอบแล้ว ซีเคร็ตที่จำกัดเวลา และการเฝ้าระวังพฤติกรรมคือรากฐาน เริ่มต้นด้วยการตรวจสอบข้อมูลรับรองตั้งแต่วันนี้ และมองว่าทุกดีเพนเดนซีเป็นพื้นผิวการโจมตีที่อาจเป็นไปได้และสมควรได้รับการตรวจสอบอย่างละเอียด

// คำถามที่พบบ่อย

เกิดอะไรขึ้นกับแพ็กเกจ npm ของ Red Hat?

แพ็กเกจ npm ของ Red Hat Cloud Services กว่า 30 แพ็กเกจถูกเจาะหลังจากแฮกเกอร์ยึดบัญชี GitHub ของพนักงาน Red Hat และส่งคอมมิทที่เป็นอันตรายซึ่งมีมัลแวร์ขโมยข้อมูลรับรองสายพันธุ์ที่เรียกว่า Mini Shai‑Hulud

แฮกเกอร์เจาะแพ็กเกจเหล่านี้ได้อย่างไร?

พวกเขาเริ่มจากการเจาะบัญชี GitHub ของพนักงาน Red Hat หนึ่งคน แล้วใช้ข้อมูลประจำตัวนักพัฒนาที่ถูกต้องนั้นเพื่อส่งโค้ดที่ติดเชื้อไปยังรีโปโดยตรง เลี่ยงการตรวจสอบความน่าเชื่อถืออัตโนมัติ

มัลแวร์ Mini Shai‑Hulud คืออะไรและทำงานอย่างไร?

มันคือมัลแวร์ขโมยข้อมูลรับรองที่ทำงานอัตโนมัติในขณะติดตั้งแพ็กเกจ (`npm install`) และรวบรวมคีย์เข้าถึงคลาวด์, คีย์ SSH และไฟล์การตั้งค่า Kubernetes จากระบบเป้าหมายทันที

แฮกเกอร์มุ่งเป้าไปที่ข้อมูลรับรองใดบ้าง?

มัลแวร์มุ่งเป้าไปที่ไฟล์ข้อมูลรับรองของ AWS, Google Cloud Platform และ Azure รวมถึงคีย์ส่วนตัว SSH และไฟล์การตั้งค่า Kubernetes ซึ่งทั้งหมดนี้สามารถให้สิทธิ์เข้าถึงโครงสร้างพื้นฐานสำหรับโปรดักชันในวงกว้าง

เหตุใด pipeline CI/CD จึงเสี่ยงต่อการโจมตีนี้เป็นพิเศษ?

รันเนอร์ CI/CD มักเก็บข้อมูลรับรองคลาวด์อายุการใช้งานยาวนานเป็นตัวแปรสภาพแวดล้อมหรือซีเคร็ตที่เมาท์ไว้ ดังนั้นรันเนอร์ build ที่ติดเชื้อเพียงตัวเดียวอาจรั่วไหลคีย์ที่ควบคุมสภาพแวดล้อมคลาวด์ทั้งหมดอย่างเงียบๆ

แพ็กเกจ npm ของ Red Hat โดนเจาะ: กว่า 30 รีโปส่งมัลแวร์ขโมยข้อมูลรับรองคลาวด์

แพ็กเกจ npm ของ Red Hat ถูกเจาะได้อย่างไร

ข้อมูลรับรองใดบ้างที่ถูกขโมยและทำไมถึงสำคัญ

เหตุใดการโจมตีซัพพลายเชนจึงเป็นจุดบอดของระบบความปลอดภัยมาตรฐาน

การป้องกันหลายชั้น: การจัดการซีเคร็ต, การแบ่งกลุ่มเครือข่าย และ VPN

สิ่งนี้หมายความว่าอย่างไรสำหรับคุณ

// คำถามที่พบบ่อย

// ที่เกี่ยวข้อง