การโจมตีห่วงโซ่อุปทาน npm ที่กำลังเกิดขึ้น มุ่งเป้าไปที่แพ็กเกจของ Red Hat Cloud Services โดยมีรีโพสิทอรี GitHub มากกว่า 300 แห่งได้รับผลกระทบ

ข่าวจาก Huoxing Caijing: เมื่อวันที่ 2 มิถุนายน SlowMist ได้เผยแพร่คำเตือนด้านความปลอดภัย ระบุว่าตรวจพบการโจมตีห่วงโซ่อุปทาน npm ที่ยังคงดำเนินอยู่ โดยมีเป้าหมายที่แพ็กเกจที่เกี่ยวข้องกับ @redhat-cloud-services ขณะนี้ยืนยันแล้วว่ามีแพ็กเกจมากกว่า 31 รายการที่ได้รับผลกระทบ โดยมีจำนวนการดาวน์โหลดต่อสัปดาห์ประมาณ 116,000 ครั้ง และมีคุณสมบัติที่ถูกขโมยอยู่ในคลัง GitHub มากกว่า 300 แห่ง การโจมตีครั้งนี้มีลักษณะคล้ายกับการโจมตี npm ก่อนหน้านี้ที่เรียกว่า “Shai-Hulud” รวมถึงการขโมยข้อมูลรับรอง การสร้างคลังที่เป็นอันตราย และการรั่วไหลของความลับโดยอัตโนมัติ ขณะนี้ยังมีคลังที่น่าสงสัยใหม่ๆ ปรากฏขึ้นอย่างต่อเนื่อง แสดงว่าการโจมตียังคงดำเนินอยู่ และนักพัฒนา依然ถูกติดเชื้ออย่างต่อเนื่อง ความเสี่ยงที่อาจเกิดขึ้นรวมถึง: การถูกขโมย token GitHub/npm การรั่วไหลของข้อมูลรับรอง AWS/GCP/Azure การรวบรวม SSH key และความลับ Kubernetes การรั่วไหลของข้อมูลสภาพแวดล้อมท้องถิ่นและกระเป๋าเงิน การสร้างคลังที่เป็นอันตรายและการดำเนินการอย่างยั่งยืน และแม้แต่การกระทำทำลายล้างที่อาจเกิดขึ้นหลังจาก token ถูกยกเลิก ขอแนะนำให้ลบหรือลดเวอร์ชันของแพ็กเกจ @redhat-cloud-services ที่ได้รับผลกระทบทันที ตรวจสอบระบบ CI/CD และการติดตั้งการพึ่งพาอย่างละเอียด เปลี่ยนรหัสผ่านทั้งหมดที่เกี่ยวข้องกับ GitHub, npm, บริการคลาวด์, SSH และกระเป๋าเงิน บันทึกข้อมูลโลจ์ และสร้างเครื่องนักพัฒนาหรือ Runner ที่ถูกเปิดเผยใหม่จากภาพที่สะอาด โดยต้องคงความระมัดระวังอย่างสูง