เกิดเหตุการณ์โจมตีซัพพลายเชนซอฟต์แวร์ครั้งใหม่ เมื่อผู้ไม่หวังดีสามารถเจาะระบบแพ็กเกจ Python ยอดนิยมอย่าง Lightning และปล่อยเวอร์ชันปลอม 2 เวอร์ชัน (2.6.2 และ 2.6.3) เพื่อขโมยข้อมูลประจำตัว โดยแพ็กเกจดังกล่าวมีโค้ดอันตรายซ่อนอยู่ในไดเรกทอรี _runtime ซึ่งจะทำงานอัตโนมัติเมื่อมีการ import โมดูล Lightning โดยผู้ใช้ไม่ต้องดำเนินการใดๆ เพิ่มเติม

การโจมตีนี้เริ่มต้นจากสคริปต์ Python ที่ดาวน์โหลดและรัน Bun JavaScript runtime เพื่อเรียกใช้เพย์โหลดขนาด 11MB ที่ถูกบดบังไว้ โดยมีเป้าหมายขโมยข้อมูลประจำตัว เช่น GitHub tokens ซึ่งจะถูกตรวจสอบความถูกต้องก่อนนำไปใช้ฉีดเพย์โหลดแบบ worm ไปยังสาขา (branches) สูงสุด 50 สาขาในทุก repository ที่ token สามารถเขียนได้ นอกจากนี้ยังมีการแพร่กระจายผ่าน npm โดยแก้ไขแพ็กเกจในเครื่องของนักพัฒนาให้มี postinstall hook ที่เรียกใช้เพย์โหลดอันตราย

ขณะนี้ PyPI ได้กักกันแพ็กเกจดังกล่าวแล้ว และทีมผู้ดูแลโครงการกำลังสอบสวนอยู่ แนะนำให้บล็อกเวอร์ชัน 2.6.2 และ 2.6.3 ถอนการติดตั้ง และดาวน์เกรดเป็นเวอร์ชัน 2.6.1 พร้อมทั้งเปลี่ยนข้อมูลประจำตัวที่อาจถูกเปิดเผย

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• Supply chain attack – การโจมตีห่วงโซ่อุปทานซอฟต์แวร์ที่เจาะระบบผ่าน dependencies หรือแพ็กเกจของบุคคลที่สาม
• PyPI – Python Package Index คลังแพ็กเกจ Python อย่างเป็นทางการ
• Credential theft – การขโมยข้อมูลประจำตัว เช่น รหัสผ่านหรือ tokens
• Obfuscated payload – เพย์โหลดที่ถูกบดบังโค้ดเพื่อหลบเลี่ยงการตรวจจับ
• Worm-like payload – เพย์โหลดที่แพร่กระจายตัวเองคล้ายหนอนคอมพิวเตอร์