เมื่อวันที่ 8 กันยายน ได้มีการค้นพบการโจมตีซัพพลายเชน (Supply Chain Attack) ของซอฟต์แวร์ครั้งใหญ่ภายในระบบนิเวศของ NPM ซึ่งส่งผลกระทบต่อไลบรารี JavaScript ที่ใช้งานกันอย่างแพร่หลายหลายตัว เหตุการณ์นี้เป็นที่สนใจของสาธารณชนครั้งแรกเมื่อ Charles Guillemet ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Ledger ได้ออกคำเตือนว่าบัญชี Node Package Manager ของนักพัฒนาที่เชื่อถือได้ถูกบุกรุก การประเมินเบื้องต้นชี้ให้เห็นว่ามีการดาวน์โหลดมากกว่าหนึ่งพันล้านครั้งที่เสี่ยงต่อมัลแวร์ที่ซ่อนอยู่ซึ่งออกแบบมาเพื่อขโมยคริปโตเคอร์เรนซี อย่างไรก็ตาม การตรวจสอบในภายหลังเปิดเผยว่าแพ็กเกจที่ถูกบุกรุกนั้นมีการดาวน์โหลดรวมกันมากกว่า 2.6 พันล้านครั้งต่อสัปดาห์
Supply Chain Attack Exposes Over 2 Billion
การโจมตีซัพพลายเชน (Supply Chain Attack) เปิดเผยข้อมูลกว่า 2 พันล้านรายการ
การโจมตีมุ่งเน้นไปที่บัญชีของนักพัฒนาที่รู้จักกันในชื่อ “qix” ซึ่งดูแลไลบรารี JavaScript ยอดนิยมหลายตัว ซึ่งรวมถึง chalk, strip-ansi, color-convert และ debug ซึ่งทั้งหมดนี้ถูกใช้ในโปรเจกต์จำนวนนับไม่ถ้วนทั้งในสภาพแวดล้อมฝั่งเซิร์ฟเวอร์และส่วนหน้า ผู้โจมตีเข้าถึงบัญชีผ่านอีเมลสนับสนุนปลอมและผลักดันการอัปเดตที่เป็นอันตรายไปยังแพ็กเกจประมาณ 18 รายการ เนื่องจากการติดตั้งการพึ่งพาอัตโนมัติ มัลแวร์จึงแพร่กระจายอย่างรวดเร็วภายในไม่กี่ชั่วโมงหลังจากการละเมิด
Guillemet อธิบายว่าโค้ดที่เป็นอันตรายได้รับการออกแบบมาเพื่อแทนที่ที่อยู่กระเป๋าเงินคริปโตเคอร์เรนซี (cryptocurrency wallet addresses) อย่างเงียบ ๆ ในระหว่างการทำธุรกรรม สิ่งนี้ทำให้ผู้ใช้ที่พึ่งพากระเป๋าเงินซอฟต์แวร์ (software wallets) เสี่ยงต่อการสูญเสียเงินทุนหากพวกเขาอนุมัติการทำธุรกรรมโดยไม่สังเกตเห็นว่าที่อยู่ผู้รับมีการเปลี่ยนแปลง
มัลแวร์ Crypto Clipper และ MetaMask
นักวิจัยด้านความปลอดภัยระบุมัลแวร์ว่าเป็นประเภท “crypto clipper” ซึ่งทำงานโดยการแทนที่ที่อยู่กระเป๋าเงิน (wallet addresses) ในขั้นตอนต่าง ๆ ของการทำธุรกรรม ในกรณีที่ไม่พบกระเป๋าเงิน มัลแวร์จะแก้ไขข้อมูลขาออกภายในแอปพลิเคชันแบบกระจายศูนย์ (decentralized applications) โดยการเชื่อมต่อกับฟังก์ชันของเบราว์เซอร์ เช่น fetch และ XMLHttpRequest สิ่งนี้ช่วยให้สามารถสแกนและแก้ไขที่อยู่ภายในข้อมูลแอปพลิเคชันได้
หากตรวจพบส่วนขยายกระเป๋าเงิน (wallet extension) เช่น MetaMask มัลแวร์จะทำงานโดยตรงมากขึ้นโดยการดักจับธุรกรรมก่อนที่จะมีการลงนาม โดยจะแก้ไขที่อยู่กระเป๋าเงินในหน่วยความจำเพื่อให้เมื่อผู้ใช้ตรวจสอบธุรกรรม ที่อยู่ฉ้อโกงจะถูกแทนที่ไว้แล้ว มัลแวร์อาศัยอัลกอริทึม Levenshtein ซึ่งสร้างที่อยู่ที่คล้ายกับต้นฉบับอย่างใกล้ชิด ความคล้ายคลึงกันนี้ทำให้ผู้ใช้มีโอกาสน้อยที่จะระบุการเปลี่ยนแปลง
Supply Chain Attack Exposes Over 2 Billion
สัญญาณแรกของการโจมตี
นักพัฒนาพบสัญญาณแรกของการโจมตีเมื่อระบบสร้าง (build systems) ส่งคืนข้อความแสดงข้อผิดพลาดที่ไม่คาดคิด การตรวจสอบเพิ่มเติมของการพึ่งพาที่เรียกว่า error-ex เปิดเผยโค้ดที่ถูกซ่อนไว้ซึ่งมีฟังก์ชันที่น่าสงสัยชื่อ checkethereumw ซึ่งบ่งชี้ถึงการกำหนดเป้าหมายกระเป๋าเงิน Ethereum นักวิเคราะห์ยืนยันในภายหลังว่ามัลแวร์มีข้อมูลอ้างอิงถึงที่อยู่กระเป๋าเงิน ในบล็อกเชนหลายแห่ง รวมถึง Bitcoin, Ethereum, Solana, Tron, Litecoin และ Bitcoin Cash
ในบรรดาแพ็กเกจที่ได้รับผลกระทบมีบางส่วนที่ใช้กันอย่างแพร่หลายที่สุดในระบบนิเวศ JavaScript เฉพาะ Chalk เพียงอย่างเดียวมีการดาวน์โหลดมากกว่า 300 ล้านครั้งต่อสัปดาห์, debug มากกว่า 350 ล้านครั้ง และ strip-ansi มากกว่า 260 ล้านครั้ง โดยรวมแล้ว ไลบรารีที่ถูกบุกรุกมีการดาวน์โหลดรวมกันมากกว่า 2.6 พันล้านครั้งต่อสัปดาห์ ซึ่งเน้นย้ำถึงความลึกของผลกระทบต่อชุมชนนักพัฒนา
กระเป๋าเงินฮาร์ดแวร์ (Hardware Wallets) vs กระเป๋าเงินซอฟต์แวร์ (Software Wallets)
แม้ว่าไลบรารีที่ติดเชื้อจำนวนมากจะไม่ได้เชื่อมโยงโดยตรงกับโปรเจกต์คริปโตเคอร์เรนซี แต่การรวมเข้ากับห่วงโซ่การพึ่งพาหมายความว่าแม้แต่แอปพลิเคชันที่ไม่เกี่ยวข้องก็อาจได้รับผลกระทบ โปรเจกต์ที่โต้ตอบกับกระเป๋าเงินคริปโตเคอร์เรนซีและแอปพลิเคชันแบบกระจายศูนย์ (decentralized applications) ถือว่ามีความเสี่ยงสูงสุด
ตามที่ Guillemet กล่าว ผู้ใช้กระเป๋าเงินฮาร์ดแวร์ (hardware wallets) ที่มีคุณสมบัติการลงนามที่ชัดเจนยังคงปลอดภัยเนื่องจากอุปกรณ์ดังกล่าวช่วยให้พวกเขาสามารถตรวจสอบทุกธุรกรรมก่อนการอนุมัติ ในทางตรงกันข้าม ผู้ใช้กระเป๋าเงินซอฟต์แวร์ (software wallets) เผชิญกับความเสี่ยงที่สูงกว่าและได้รับคำแนะนำให้ใช้ความระมัดระวังอย่างยิ่งจนกว่าการพึ่งพาจะได้รับการตรวจสอบและรักษาความปลอดภัยอย่างสมบูรณ์
การค้นหาผู้โจมตีและเงินทุนที่ถูกขโมย
ที่อยู่คริปโตเคอร์เรนซีของผู้โจมตีได้รับการระบุและกำลังถูกตรวจสอบอย่างต่อเนื่องด้วยความโปร่งใสของบล็อกเชนสาธารณะ ที่อยู่ Ethereum หลักที่เชื่อมโยงกับการดำเนินการคือ 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 พร้อมกับที่อยู่สำรองอื่น ๆ อีกหลายแห่ง ในขณะที่รายงาน เงินทุนที่ถูกขโมยยังไม่ถูกย้าย การตรวจสอบนี้ให้โอกาสในการวิเคราะห์อย่างต่อเนื่อง แม้ว่าขอบเขตทั้งหมดของสินทรัพย์ที่ถูกขโมยยังไม่ชัดเจน
Supply Chain Attack Exposes Over 2 Billion
JavaScript และบทบาทของชุมชน
ชุมชน JavaScript และ web3 ได้ดำเนินการอย่างรวดเร็วเพื่อควบคุมเหตุการณ์นี้ เวอร์ชันที่เป็นอันตรายของแพ็กเกจที่ถูกบุกรุกส่วนใหญ่ถูกลบออกจากรีจิสทรีแล้ว แต่ความเสี่ยงยังคงมีอยู่สำหรับโปรเจกต์ที่อาจยังคงพึ่งพาเวอร์ชันที่ล้าสมัยภายในไฟล์ lockfile นักพัฒนาถูกกระตุ้นให้ตรวจสอบการพึ่งพาของตน ล็อกเวอร์ชันที่ปลอดภัย และติดตั้งบิลด์ที่สะอาดใหม่เพื่อป้องกันการเปิดเผยเพิ่มเติม
ผู้เชี่ยวชาญด้านความปลอดภัยยังแนะนำให้นักพัฒนาหมุนเวียนข้อมูลประจำตัว บังคับใช้การยืนยันตัวตนแบบสองปัจจัย (two-factor authentication) ในบัญชีเช่น NPM และ GitHub และใช้วิธีการติดตั้งแบบกำหนด (deterministic installation methods) เช่น npm ci เพื่อรักษาการควบคุมเวอร์ชันที่เข้มงวด นอกจากนี้ ผู้ใช้ยังได้รับคำแนะนำให้ตรวจสอบธุรกรรมคริปโตเคอร์เรนซีทั้งหมดอย่างรอบคอบ โดยเฉพาะอย่างยิ่งหากพึ่งพากระเป๋าเงินซอฟต์แวร์
ข้อคิดสุดท้าย
เหตุการณ์นี้ถูกอธิบายว่าเป็นหนึ่งในการละเมิดที่กว้างขวางที่สุดที่ส่งผลกระทบต่อระบบนิเวศของ NPM แม้ว่าการตอบสนองของชุมชนจะค่อนข้างรวดเร็ว แต่การโจมตีนี้เน้นย้ำถึงความเปราะบางของซัพพลายเชนซอฟต์แวร์สมัยใหม่และความเสี่ยงที่เกิดจากการพึ่งพาส่วนประกอบโอเพนซอร์สอย่างแพร่หลาย
ดังที่ Guillemet เน้นย้ำ การตรวจสอบทุกธุรกรรมก่อนการลงนามยังคงเป็นสิ่งสำคัญ การละเมิดนี้เป็นเครื่องเตือนใจว่าแม้แต่ไลบรารีขนาดเล็กที่ฝังลึกอยู่ในโครงสร้างพื้นฐานของแอปพลิเคชันก็สามารถกลายเป็นช่องทางการโจมตีที่สำคัญได้เมื่อถูกบุกรุก สำหรับนักพัฒนาและผู้ใช้ การเฝ้าระวังอย่างต่อเนื่องจึงเป็นส่วนสำคัญในการรักษาความปลอดภัยในระบบนิเวศ web3 และการพัฒนาซอฟต์แวร์
