ที่มาภาพ: The Register
แคมเปญ Miasma ฉีดมัลแวร์ลง npm มากกว่า 20 แพคเกจ เก็บข้อมูลลับของนักพัฒนา
⚡ สรุป 30 วิ
Miasma แฮกบัญชีผู้ดูแล npm แล้วปล่อยอัปเดตที่มีมัลแวร์ไปยังแพคเกจกว่า 20 รายการในเวลาไม่กี่วินาที ทำให้ CI/CD และเครื่องนักพัฒนาถูกขโมยข้อมูลลับ เช่น…
การโจมตีแบบ Miasma ล่าสุดทำให้แพคเกจ npm กว่า 20 เวอร์ชันในระบบ Leo Platform และ RStreams ถูกฉีดซึมด้วยมัลแวร์ ผู้โจมตีใช้บัญชีผู้ดูแล npm ชื่อ czirker เพื่อเผยแพร่อัปเดตที่มีโค้ดอันตรายภายในเวลาเพียงไม่กี่วินาที การกระทำนี้เป็นส่วนหนึ่งของแคมเปญที่พัฒนาให้เป็นหนอนอัตโนมัติในซัพพลายเชน ซึ่งมุ่งเก็บข้อมูลลับของนักพัฒนาและระบบ CI/CD
Overview
แคมเปญ Miasma เริ่มต้นเมื่อช่วงดึกของวันที่ 24 มิถุนายน 2026 โดยผู้โจมตีเข้าควบคุมบัญชีผู้ดูแล npm czirker แล้วเผยแพร่อัปเดตที่อันตรายให้กับแพคเกจกว่า 20 รายการในเวลาไม่ถึง สาม วินาทีตามที่ Microsoft Threat Intelligence รายงานบน X การกระทำนี้เป็นการโจมตีแบบ coordinated, fully automated ซึ่งทำให้ผู้ใช้ที่ติดตั้งแพคเกจเหล่านั้นเสี่ยงต่อการติดมัลแวร์ทันที
แคมเปญนี้ได้แสดงให้เห็นถึงความอ่อนแอของระบบซัพพลายเชนในวงการ JavaScript ที่อาศัย npm เป็นศูนย์กลาง การที่ผู้โจมตีสามารถแทรกโค้ดอันตรายเข้าไปในแพคเกจที่เชื่อถือได้ ทำให้เครื่องของนักพัฒนาและเซิร์ฟเวอร์ CI/CD กลายเป็นเป้าหมายโดยตรง
Attack Timeline
ตามข้อมูลจาก Microsoft การโจมตีเริ่มต้นด้วยการแฮกบัญชี czirker ซึ่งเป็นผู้ดูแลแพคเกจหลายรายการบน npm หลังจากนั้นผู้โจมตีอัปโหลดเวอร์ชันที่มีมัลแวร์เข้าไปใน npm registry ภายในเวลาไม่ถึงสามวินาที ทั้งหมดนี้เกิดขึ้นโดยอัตโนมัติและประสานกันทั่วโลก
เมื่อแพคเกจที่ถูกติดเชื้อถูกดาวน์โหลดโดยนักพัฒนา ระบบ CI/CD จะทำการติดตั้งและเรียกใช้โค้ดอันตรายโดยอัตโนมัติ ขั้นตอนต่อมาคือการสแกนหน่วยความจำของ GitHub Actions runner เพื่อดึงข้อมูลลับออกมาจากหน่วยความจำนั้น
จากนั้นข้อมูลที่ขโมยได้จะถูกคอมมิตลงในรีโพสิตอรี GitHub ที่สร้างขึ้นโดยใช้บัญชีของเหยื่อ แทนที่จะส่งไปยังเซิร์ฟเวอร์ควบคุมแบบดั้งเดิม ทำให้การตรวจจับและการบล็อกการสื่อสารยากยิ่งขึ้น
Technical Details
มัลแวร์ Miasma มีเป้าหมายหลักที่เครื่องพัฒนาซอฟต์แวร์และ CI runners โดยเฉพาะ มันมองหา credential ของผู้ให้บริการคลาวด์เช่น AWS, Azure, Google Cloud รวมถึง GitHub personal access tokens, Kubernetes secrets, HashiCorp Vault credentials, 1Password data, และ npm publishing credentials
การทำงานของมัลแวร์ประกอบด้วยขั้นตอนต่อไปนี้
- ดึงข้อมูลลับจากหน่วยความจำของ GitHub Actions runner
- คอมมิตข้อมูลที่ได้ลงในรีโพสิตอรีที่สร้างจากบัญชีของเหยื่อ
- พยายามเผยแพร่แพคเกจใหม่โดยใช้สิทธิ์ของผู้ดูแลที่ถูกขโมย เพื่อหลีกเลี่ยงการตรวจสอบ two‑factor authentication ของ npm
นอกจากนี้ Miasma ยังพยายามเผยแพร่แพคเกจที่ผู้โจมตีมีสิทธิ์ดูแลต่อไปอีก เพื่อสร้างช่องทางการแพร่กระจายเพิ่มเติม
Evolution & Evasion
เวอร์ชันใหม่ของ Miasma แสดงให้เห็นถึงการพัฒนาอย่างต่อเนื่องของกลไกการซ่อนตัวเดิม เวอร์ชันก่อนพึ่งพา npm installation hooks เพื่อแทรกโค้ดอันตราย แต่ตามที่ Sonatype รายงาน เวอร์ชันล่าสุดซ่อน payload ไว้ในขั้นตอนอื่นของกระบวนการติดตั้ง
อีกหนึ่งการเปลี่ยนแปลงสำคัญคือการใช้ Bun JavaScript runtime แทน Node.js ในการรันมัลแวร์ การเลือกใช้ Bun มีเป้าหมายเพื่อหลบหลีกการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัยที่มักตั้งค่าตรวจสอบเฉพาะ Node.js
การเปิดตัวชุดเครื่องมือ Mini Shai‑Hulud บน GitHub ทำให้ซอร์สโค้ดของมัลแวร์สามารถเข้าถึงได้โดยผู้ที่สนใจ ทำให้การกระจายของ Miasma มีโอกาสขยายกว้างขึ้นและยากต่อการกำจัด
Mitigation Recommendations
Microsoft แนะนำให้องค์กรที่เคยติดตั้งแพคเกจที่ได้รับผลกระทบถือว่าระบบ developer machines และ CI environments อาจถูกเจาะแล้ว ควรดำเนินการตรวจสอบและเปลี่ยน credential ทันที Sonatype เสนอขั้นตอนต่อไปนี้เพื่อช่วยลดความเสี่ยง
- ตรวจสอบไฟล์ lockfile ของโปรเจกต์เพื่อหาตัวเวอร์ชันที่ติดเชื้อ
- ตรวจสอบ internal package mirrors, build caches, container images, และ CI runners เพื่อค้นหาไฟล์แพคเกจที่ยังคงอยู่
- ทำการหมุน credential ใหม่ทั้งหมด รวมถึงคีย์ของคลาวด์, token ของ GitHub, secret ของ Kubernetes, และข้อมูลของ 1Password
การเปลี่ยน credential ควรทำพร้อมกับการตรวจสอบว่ามีการดึงข้อมูลลับใหม่จากระบบหรือไม่ มิฉะนั้นอาจทำให้ผู้โจมตีสามารถขโมยข้อมูลใหม่ที่ถูกสร้างขึ้นได้
Impact
การโจมตีของ Miasma ส่งผลกระทบต่อองค์กรที่พึ่งพา npm เป็นส่วนหนึ่งของโซลูชันซอฟต์แวร์ ทั้งในอุตสาหกรรมเทคโนโลยีและภาคส่วนอื่น ๆ การที่มัลแวร์สามารถเข้าถึง credential ของผู้ให้บริการคลาวด์หลักทำให้ความเสี่ยงต่อการขโมยข้อมูลลูกค้าและการทำงานของระบบเพิ่มขึ้นอย่างมาก
นอกจากนี้ การใช้ Bun ทำให้เครื่องมือตรวจจับแบบเดิมอาจไม่สามารถระบุพฤติกรรมอันตรายได้ ส่งผลให้ผู้ป้องกันต้องอัปเดตฐานข้อมูลลายเซ็นและกฎการตรวจจับเพื่อรวมเอา Bun เข้าไปด้วย
แม้ว่าแหล่งที่มาของการโจมตีจะถูกระงับแล้ว การกระจายของ Mini Shai‑Hulud ทำให้ผู้โจมตีใหม่ ๆ สามารถนำโค้ดไปปรับใช้ต่อได้ ดังนั้นการเฝ้าระวังและการอัปเดตระบบอย่างต่อเนื่องจึงเป็นสิ่งจำเป็น
Summary
แคมเปญ Miasma ได้ฉีดซึมแพคเกจ npm กว่า 20 เวอร์ชันโดยใช้บัญชีผู้ดูแล czirker เพื่อเผยแพร่โค้ดอันตรายในเวลาไม่กี่วินาที การโจมตีมุ่งเก็บข้อมูลลับของนักพัฒนาและระบบ CI/CD และได้พัฒนาวิธีซ่อนตัวโดยใช้ Bun แทน Node.js
องค์กรควรตรวจสอบ lockfile, แคช, ภาพคอนเทนเนอร์และ CI runners พร้อมกับหมุน credential ใหม่ทุกประเภท เพื่อลดความเสี่ยงจากการโจมตีต่อเนื่องของ Miasma.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Miasma campaign poisons 20-plus npm packages, hunts for developer secrets
- ผู้เขียน
- Unknown
- แหล่ง
- The Register
- วันที่เผยแพร่
- 26 มิถุนายน 2569 เวลา 19:18
