มัลแวร์ Shai-Hulud แพร่เชื้อในแพ็กเกจ NPM/PyPI คุกคามวอลเล็ตคริปโต

Shai-Hulud: มัลแวร์ซัพพลายเชนที่ค่อยๆ เข้าไปในกระบวนการพัฒนาของนักพัฒนา—และเข้าสู่วอลเล็ตคริปโต แคมเปญมัลแวร์ที่เงียบสงบซึ่งเรียกว่า “Shai-Hulud” กำลังใช้ประโยชน์จากเครื่องมืออัตโนมัติที่นักพัฒนาพึ่งพาในการสร้างและส่งมอบซอฟต์แวร์ และขอบเขตของการโจมตีนี้น่ากังวลอย่างยิ่ง นักวิจัยได้เชื่อมโยงแพ็กเกจที่เป็นอันตรายประมาณ 320 รายการจากคลังข้อมูล Node Package Manager (NPM) และ PyPI กับแคมเปญนี้—แพ็กเกจเหล่านี้มีจำนวนการดาวน์โหลดรายเดือนรวมกันมากกว่า 518 ล้านครั้ง สำหรับโครงการคริปโตและทีมใดก็ตามที่พึ่งพาระบบนิเวศเหล่านี้ ผลกระทบชัดเจน: การเข้าถึงเครื่องมือของนักพัฒนาโดยผู้โจมตีสามารถเปลี่ยนเป็นการขโมยข้อมูลรับรองคลาวด์และวอลเล็ตคริปโตได้อย่างรวดเร็ว วิธีการแพร่กระจายของการติดเชื้อ Shai-Hulud ไม่ได้โจมตีผู้ใช้ปลายทางโดยตรง แต่กลับเข้าควบคุมแพ็กเกจที่เชื่อถือได้และกระบวนการสร้าง (build pipelines) เพื่อให้มัลแวร์ถูกดึงเข้าสู่โครงการย่อยต่างๆ อัตโนมัติในระหว่างกระบวนการพัฒนาและการปล่อยซอฟต์แวร์ตามปกติ เนื่องจากโค้ดที่เป็นอันตรายมักมาจากคลังแพ็กเกจที่ถูกต้องตามกฎหมาย มีลายเซ็นที่ถูกต้อง และผ่านการตรวจสอบประจำ จึงสามารถกลมกลืนได้อย่างดี—ทำให้การตรวจจับเป็นเรื่องยากจนกว่าความเสียหายจะเกิดขึ้นแล้ว ทำไมเรื่องนี้จึงสำคัญ “ซอฟต์แวร์สมัยใหม่ถูกสร้างขึ้นจากการรันโค้ดของผู้อื่น” เจฟฟ์ วิลเลียมส์ หัวหน้าเจ้าหน้าที่เทคโนโลยีของ Contrast Security กล่าวกับ Decrypt “นักพัฒนาไม่ได้แค่ ‘ดาวน์โหลด’ ไลบรารีเท่านั้น แต่พวกเขาติดตั้ง สร้าง ทดสอบ ปรับใช้ และในที่สุดก็รันมัน หากคุณรันไลบรารีที่เป็นอันตราย มันสามารถทำได้แทบทุกอย่างที่คุณทำได้” เขาเตือนว่าความก้าวหน้าของ AI ทำให้ปัญหาแย่ลง โดยเปรียบเทียบผลลัพธ์กับ “การเปลี่ยนคอมพิวเตอร์ให้เป็นสายลับคู่” เหตุการณ์จริงและผลกระทบ - เมื่อต้นเดือนพฤษภาคม Microsoft Threat Intelligence เปิดเผยว่าผู้โจมตีได้แทรกโค้ดที่เป็นอันตรายลงในแพ็กเกจของ Mistral AI บน PyPI มัลแวร์ยังดึงไฟล์ที่ออกแบบให้ดูเหมือนไลบรารี Transformers ของ Hugging Face เพื่อให้กลมกลืนกับสภาพแวดล้อม ML Mistral ภายหลังระบุว่าอุปกรณ์ของนักพัฒนาที่ได้รับผลกระทบเกี่ยวข้อง แต่ไม่พบหลักฐานว่าโครงสร้างพื้นฐานของตนถูกโจมตี - สองวันต่อมา OpenAI ยืนยันว่าอุปกรณ์ของพนักงานสองเครื่องได้รับการติดเชื้อด้วยมัลแวร์ที่เชื่อมโยงกับ Shai-Hulud ซึ่งให้ผู้โจมตีเข้าถึงคลังโค้ดภายในจำนวนจำกัดชั่วคราว บริษัทรายงานว่าไม่มีหลักฐานว่าข้อมูลลูกค้า ระบบผลิต หรือทรัพย์สินทางปัญญาถูกโจมตี - แคมเปญนี้ได้รับความสนใจอย่างกว้างขวางหลังการโจมตี TanStack เมื่อวันที่ 11 พฤษภาคม ซึ่งเป็นเฟรมเวิร์ก JavaScript แบบโอเพ่นซอร์สที่ใช้อย่างแพร่หลายและขับเคลื่อนแอปเว็บและคลาวด์จำนวนมาก ขอบเขตและผู้กระทำผิด นักวิจัยตามรอยเวอร์ชันก่อนหน้าของ Shai-Hulud ย้อนกลับไปถึงเดือนกันยายน 2025 และเชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ที่ใช้นามแฝง TeamPCP กลุ่มอาชญากรดังกล่าวภายหลังอ้างว่าขโมยคลัง GitHub ส่วนตัวประมาณ 4,000 คลัง และเสนอขายข้อมูลดังกล่าว—GitHub ระบุว่ากำลังสอบสวนการเข้าถึงคลังภายในโดยไม่ได้รับอนุญาต ในขณะเดียวกัน บริษัทด้านความปลอดภัย OX Security รายงานว่ามีแพ็กเกจเลียนแบบที่กำลังแพร่กระจายอยู่แล้ว โดยขโมยข้อมูลรับรองวอลเล็ตคริปโตและคลาวด์ กุญแจ SSH และตัวแปรสภาพแวดล้อม และบางเวอร์ชันยังพยายามจัดสรรเครื่องที่ติดเชื้อเข้าสู่บอทเน็ต DDoS หมายเหตุทางเทคนิคและเบาะแสการระบุแหล่งที่มา OX Security ระบุว่าตัวอย่างใหม่บางส่วนแทบเหมือนกับซอร์สโค้ด Shai-Hulud ที่รั่วไหลโดยไม่มีการเข้ารหัสหลบเลี่ยง บ่งชี้ว่าผู้กระทำผิดคนอื่นกำลังนำโค้ดนี้ไปใช้ใหม่แทนการพัฒนาเวอร์ชันใหม่ การนำกลับมาใช้ซ้ำแบบนี้เร่งการแพร่กระจาย: การถูกโจมตีของแพ็กเกจขนาดเล็กหรือไม่เป็นที่รู้จักสามารถให้ผู้โจมตีเข้าถึงโครงการย่อยทุกโครงการที่ไว้วางใจในแพ็กเกจนั้น เพื่อขโมยโทเค็น ปล่อยแพ็กเกจอันตราย และดำเนินการเติมสารพิษซ้ำแล้วซ้ำเล่า ทำไมโครงการคริปโตควรให้ความสนใจ สำหรับทีมบล็อกเชนและคริปโต พื้นที่โจมตีรวมถึงเครื่องของนักพัฒนา CI/CD คลังแพ็กเกจ และระบบเผยแพร่อัตโนมัติ—พื้นที่เหล่านี้กำลังถูกผู้โจมตีเป้าหมายมากขึ้นเพราะให้ผลตอบแทนสูง เมื่อข้อมูลรับรองวอลเล็ต ตัวแปรสภาพแวดล้อม หรือคีย์ API คลาวด์ถูกเปิดเผยผ่านการพึ่งพาหรือแคชการสร้างที่ถูกโจมตี ผู้โจมตีสามารถเคลื่อนไหวจากสภาพแวดล้อมของนักพัฒนาไปสู่ระบบผลิตและทรัพย์สินทางการเงิน แนวทางป้องกันเชิงปฏิบัติ ผู้เชี่ยวชาญเน้นย้ำว่าซัพพลายเชนซอฟต์แวร์ไม่ใช่สายโซ่แบบเรียบง่ายอีกต่อไป แต่เป็นเครือข่ายการแพร่กระจาย และมาตรการป้องกันจำเป็นต้องสะท้อนสิ่งนี้ การลดความเสี่ยงแนะนำรวมถึง: - การควบคุมการพึ่งพาอย่างเข้มงวดและการตรึงเวอร์ชันอย่างเคร่งครัด - การป้องกันการเผยแพร่อย่างแข็งแรงและการปล่อยเวอร์ชันที่ลงนามและตรวจสอบแล้ว - การใช้ข้อมูลรับรองแบบสิทธิ์ขั้นต่ำสำหรับ CI/CD และหมุนเวียนโทเค็นเป็นระยะ - สภาพแวดล้อมการสร้างแบบแยกจากกันและแคชการสร้างแบบไม่เปลี่ยนแปลง - การสแกนอัตโนมัติเพื่อตรวจจับการแทรกแซงการพึ่งพาและการใช้งานข้อมูลภัยคุกคามเพื่อจับแพ็กเกจอันตรายแต่เนิ่นๆ “Shai-Hulud เป็นคำเตือนว่าพื้นที่โจมตียังขยายออกไปไกลกว่าชั้นแอปพลิเคชันแบบดั้งเดิม และเข้าไปในแพ็กเกจโอเพ่นซอร์สที่ขับเคลื่อนกระบวนการพัฒนาและการปรับใช้สมัยใหม่” จอริส แวน เดอ วิส ผู้อำนวยการงานวิจัยด้านความปลอดภัยของ SecurityBridge กล่าวกับ Decrypt สำหรับผู้สร้างคริปโต สิ่งนี้หมายความว่า การปกป้องกระบวนการพัฒนาสำคัญเท่ากับการรักษาความปลอดภัยของสัญญาอัจฉริยะและวอลเล็ต—เพราะการสร้างที่ถูกปนเปื้อนอาจเป็นทางลัดที่เร็วที่สุดในการสูญเสียเงินทุน สรุป: ผู้โจมตีกำลังเปลี่ยนโครงสร้างพื้นฐานที่เชื่อถือได้ให้กลายเป็นอาวุธ โครงการที่พึ่งพาแพ็กเกจสาธารณะ CI/CD อัตโนมัติ และแคชการสร้างแบบร่วมกันจำเป็นต้องนำมาตรการควบคุมที่เข้มงวดและการตรวจจับอย่างรวดเร็วมาใช้ เพื่อรักษาความปลอดภัยของโค้ดและคริปโต