นักวิจัยด้านความปลอดภัยไซเบอร์เตือนถึงแคมเปญโจมตีซัพพลายเชนครั้งใหม่ที่มุ่งเป้าไปที่แพ็กเกจ npm ที่เกี่ยวข้องกับ SAP โดยใช้มัลแวร์ขโมยข้อมูลประจำตัว แคมเปญนี้ใช้ชื่อว่า mini Shai-Hulud ส่งผลกระทบต่อแพ็กเกจ mbt, @cap-js/db-service, @cap-js/postgres และ @cap-js/sqlite เวอร์ชันที่ถูกบุกรุกมีการเพิ่มสคริปต์ preinstall ที่ดาวน์โหลดและรัน Bun runtime เพื่อขโมยโทเค็น GitHub, npm, ความลับของ GitHub Actions และข้อมูลคลาวด์จาก AWS, Azure, GCP และ Kubernetes ข้อมูลที่ถูกขโมยจะถูกเข้ารหัสและส่งไปยัง repositories สาธารณะบน GitHub ที่สร้างในบัญชีของเหยื่อ โดยมีมากกว่า 1,100 repositories แล้ว

มัลแวร์มีความสามารถในการแพร่กระจายตัวเองผ่าน developer และ release workflows โดยใช้โทเค็นที่ขโมยมาเพื่อแทรก GitHub Actions workflow ที่เป็นอันตรายและเผยแพร่แพ็กเกจ npm ที่ถูกบุกรุกไปยัง registry ความแตกต่างจากคลื่น Shai-Hulud ก่อนหน้านี้คือข้อมูลถูกเข้ารหัสด้วย AES-256-GCM และ RSA-4096 ทำให้มีเพียงผู้โจมตีเท่านั้นที่ถอดรหัสได้ และมัลแวร์จะทำงานเฉพาะบนระบบที่ตั้งค่าเป็นภาษารัสเซียเท่านั้น

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• Supply chain attack – การโจมตีห่วงโซ่อุปทานซอฟต์แวร์
• npm package – แพ็กเกจในระบบจัดการแพ็กเกจของ Node.js
• Credential-stealing malware – มัลแวร์ที่ขโมยข้อมูลประจำตัว
• Preinstall script – สคริปต์ที่ทำงานก่อนการติดตั้งแพ็กเกจ
• AES-256-GCM – มาตรฐานการเข้ารหัสแบบสมมาตร
• RSA-4096 – มาตรฐานการเข้ารหัสแบบอสมมาตร