คลังโค้ด GitHub สะอาดหลอกเอเย่นต์ AI ให้ดาวน์โหลดมัลแวร์

การศึกษาใหม่จากทีมวิจัยด้านความปลอดภัยไซเบอร์พบว่า คลังโค้ดบน GitHub ที่ดูเหมือนปลอดภัยสามารถหลอก เอเย่นต์ AI ที่ช่วยเขียนโค้ด ให้ดาวน์โหลดและรันโค้ดอันตรายได้ แม้เครื่องมือสแกนมัลแวร์แบบดั้งเดิมและผู้ตรวจสอบมนุษย์ก็ยังไม่ตรวจจับได้ รายงานนี้ชี้ให้เห็นช่องโหว่ใหม่ในกระบวนการอัตโนมัติของการตั้งค่าโครงการซอฟต์แวร์ที่อาจนำไปสู่การแพร่กระจายของซอฟต์แวร์ประสงค์ร้ายอย่างกว้างขวาง

Overview

การโจมตีเริ่มจากการสร้าง รีโพสิตอรี GitHub ที่ประกอบด้วยไฟล์โครงสร้างโครงการมาตรฐาน เช่น `README.md`, `package.json` หรือ `requirements.txt` ซึ่งไม่มีลายเซ็นต์หรือพฤติกรรมที่บ่งชี้ว่ามีอันตราย ผู้โจมตีจึงอาศัยความเชื่อมั่นของนักพัฒนาที่ใช้ เอเย่นต์ AI เช่น GitHub Copilot, OpenAI Codex หรือเครื่องมืออัตโนมัติของ CI/CD เพื่อคล cloning และตั้งค่าสภาพแวดล้อมโดยอัตโนมัติ

เมื่อเอเย่นต์ AI ทำการวิเคราะห์ไฟล์และสร้างสคริปต์ติดตั้งเพิ่มเติม ระบบอัตโนมัติก็จะเรียกใช้ สคริปต์อันตราย ที่ฝังอยู่ในไฟล์ `postinstall` หรือ `setup.cfg` โดยไม่เปิดเผยโค้ดอันตรายต่อผู้ตรวจสอบหรือเครื่องมือสแกนทั่วไป การทำงานนี้ทำให้มัลแวร์สามารถรันบนเครื่องของผู้ใช้หรือเซิร์ฟเวอร์ CI/CD ได้โดยอัตโนมัติ

Technical Details

โค้ดอันตรายถูกซ่อนอยู่ใน ส่วนของสคริปต์ติดตั้ง ที่มักจะทำงานหลังจากการติดตั้งแพ็คเกจเสร็จสิ้น ตัวอย่างเช่น การใช้คำสั่ง `npm install` หรือ `pip install` ที่เรียกใช้สคริปต์ `postinstall` ซึ่งในที่นี้ถูกเขียนให้ดาวน์โหลดและรันไฟล์ไบนารีที่เข้ารหัสแบบ base64 จาก URL ภายนอก

การเข้ารหัสนี้ทำให้ สแกนเนอร์ความปลอดภัยทั่วไป ไม่สามารถตรวจจับลายเซ็นต์ของมัลแวร์ได้ เนื่องจากไฟล์ที่อัปโหลดบน GitHub ปรากฏว่าเป็นข้อความธรรมดาและไม่มีพฤติกรรมที่เป็นอันตรายในระยะเวลาการสแกน ตัวเอเย่นต์ AI เองก็ไม่ได้ตรวจสอบโค้ดที่สร้างขึ้นหลังจากการรันสคริปต์ดังกล่าว เนื่องจากมักจะมองว่าเป็นส่วนหนึ่งของขั้นตอนการติดตั้งที่ปลอดภัย

ผลลัพธ์ที่ได้คือไฟล์อันตรายที่ ซ่อนตัว อยู่ในระบบเป้าหมายโดยไม่ทิ้งร่องรอยใน log หรือไฟล์ตรวจสอบมาตรฐาน ทำให้การตรวจจับในขั้นตอนต่อมามีความยากลำบากมากขึ้น

Attack Vector

ช่องโหว่นี้อาศัย แนวคิด “clean repo” ที่ทำให้ผู้ใช้หรือระบบอัตโนมัติยอมรับรีโพสิตอรีว่าเป็นโครงการที่เชื่อถือได้ การใช้ เครื่องมือ AI** เพื่อเร่งกระบวนการตั้งค่าโครงการเป็นส่วนหนึ่งของแนวโน้มการพัฒนาซอฟต์แวร์ที่เพิ่มความเร็ว แต่ในขณะเดียวกันก็สร้างพื้นที่ใหม่สำหรับผู้โจมตี

ผู้โจมตีสามารถเผยแพร่รีโพสิตอรีหลายร้อยครั้งโดยใช้ชื่อและคำอธิบายที่คล้ายกับโครงการโอเพ่นซอร์สที่เป็นที่นิยม ทำให้การค้นหาและคัดเลือกโดยอัตโนมัติเกิดความสับสน นอกจากนี้ การกระจาย URL ของไฟล์อันตรายผ่าน บริการโฮสติ้งไฟล์ ที่ไม่มีการตรวจสอบเช่น GitHub Gist หรือ raw.githubusercontent.com ยังเพิ่มความยากในการบล็อกการดาวน์โหลด

Detection Challenges

ตามรายงานของ BleepingComputer เครื่องมือสแกนมัลแวร์แบบสแตติกและไดนามิกที่ใช้กันทั่วไปยังไม่สามารถตรวจจับพฤติกรรมของสคริปต์ postinstall ที่ถูกเข้ารหัสได้ นอกจากนี้ เอเย่นต์ AI ที่ทำหน้าที่ช่วยเขียนโค้ดยังไม่มีโมดูลตรวจสอบความปลอดภัยของโค้ดที่สร้างขึ้นโดยอัตโนมัติ

การตรวจสอบโดยมนุษย์ก็ยังเผชิญความท้าทาย เนื่องจากไฟล์โค้ดอาจดูเหมือนเป็นส่วนหนึ่งของกระบวนการติดตั้งที่ปกติ การอ่านและตีความการเข้ารหัสแบบ base64 หรือการเชื่อมต่อไปยัง URL ภายนอกต้องอาศัยความเชี่ยวชาญระดับสูง ซึ่งอาจทำให้ผู้ตรวจสอบพลาดการระบุมัลแวร์ได้

Impact and Recommendations

ผลกระทบของการโจมตีประเภทนี้อาจครอบคลุมถึง นักพัฒนาซอฟต์แวร์ ที่ใช้เครื่องมือ AI ในการตั้งค่าโครงการใหม่, เซิร์ฟเวอร์ CI/CD ที่ทำการบิลด์อัตโนมัติ, และ องค์กร ที่อิงการพัฒนาซอฟต์แวร์จากรีโพสิตอรีภายนอก การรันมัลแวร์โดยไม่ได้รับการตรวจจับอาจนำไปสู่การขโมยข้อมูล, การติดตั้ง backdoor, หรือการใช้ทรัพยากรคอมพิวเตอร์เพื่อทำกิจกรรมอันตรายอื่น ๆ

เพื่อป้องกันความเสี่ยง ควรดำเนินการดังต่อไปนี้

• ตรวจสอบ สคริปต์ post‑install หรือ setup hooks ของแพ็คเกจทุกครั้งก่อนทำการติดตั้ง
• ใช้เครื่องมือสแกนที่รองรับการวิเคราะห์พฤติกรรมของสคริปต์ระหว่างการรัน (dynamic analysis)
• ตั้งค่าการ sandbox สำหรับกระบวนการติดตั้งที่มาจากรีโพสิตอรีที่ไม่รู้จัก
• จำกัดการเข้าถึงอินเทอร์เน็ตของขั้นตอน CI/CD เพื่อลดความเสี่ยงจากการดาวน์โหลดไฟล์จาก URL ภายนอก

Summary

การใช้ รีโพสิตอรีที่ดูสะอาด เพื่อหลอก เอเย่นต์ AI ให้รันมัลแวร์เปิดเผยช่องโหว่ใหม่ในกระบวนการอัตโนมัติของการตั้งค่าโครงการซอฟต์แวร์ การตรวจจับที่อาศัยเพียงสแกนสเตติกไม่เพียงพอ จึงต้องอาศัยการตรวจสอบสคริปต์และการจำกัดการเข้าถึงเครือข่ายเพื่อบรรเทาความเสี่ยง.