แพลตฟอร์ม Packagist ซึ่งเป็นที่เก็บแพ็กเกจหลักสำหรับภาษา PHP เผชิญกับแคมเปญโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) ที่ประสานงานอย่างเป็นระบบ ส่งผลให้แพ็กเกจจำนวน 8 รายการถูกแทรกซ้อนโค้ดมัลแวร์เพื่อดาวน์โหลดและรันไฟล์ไบนารีของ Linux ที่ซ่อนอยู่บน GitHub Releases

ทีมวิจัยด้านความปลอดภัยของ Socket ได้เปิดเผยรายละเอียดที่น่าสนใจว่า แม้แพ็กเกจที่ถูกบุกรุกจะเป็นแพ็กเกจ Composer สำหรับ PHP ทั้งหมด แต่ผู้โจมตีไม่ได้แทรกโค้ดเสียหายลงในไฟล์ composer. ตามมาตรฐาน แต่กลับใช้วิธีการแปลกใหม่คือการแทรกโค้ดดังกล่าวลงในไฟล์ package. ซึ่งเป็นไฟล์คอนฟิกของ JavaScript (Node.js) แทน เพื่อหลีกเลี่ยงการตรวจจับและเจาะจงโจมตีโปรเจกต์ที่มีการทำงานร่วมกันทั้ง PHP และ JavaScript

เทคนิคการหลบเลี่ยงการตรวจจับนี้ถือเป็นภัยคุกคามระดับสูงที่แสดงให้เห็นว่าผู้โจมตีพยายามข้ามขอบเขตการทำงานของระบบนิเวศเพื่อหาช่องโหว่ การใช้ GitHub ในการเก็บไฟล์มัลแวร์ไบนารีถือเป็นการล่อลวงให้ระบบดาวน์โหลดไฟล์ที่ดูเหมือนปลอดภัย นักพัฒนาที่ใช้แพ็กเกจเหล่านี้จึงควรตรวจสอบสถานะของ Dependency ทั้งหมดอย่างเข้มงวดทันที

คำศัพท์เทคนิคที่น่าสนใจ

• Supply Chain Attack – การโจมตีห่วงโซ่อุปทาน ที่ผู้โจมตีแทรกซ้อนโค้ดที่เป็นอันตรายลงในซอฟต์แวร์หรือไลบรารีภายนอกก่อนที่จะส่งต่อถึงผู้ใช้งานปลายทาง
• Packagist – ที่เก็บแพ็กเกจ (Repository) หลักสำหรับภาษา PHP ที่ทำงานร่วมกับตัวจัดการ Dependency ที่ชื่อว่า Composer
• Binary / Binary File – ไฟล์ไบนารี คือไฟล์ที่ถูกคอมไพล์แล้วเป็นภาษาเครื่อง (Machine Code) ซึ่งพร้อมสำหรับให้คอมพิวเตอร์ประมวลผลโดยตรง มักถูกใช้ในการซ่อนมัลแวร์เนื่องจากไม่สามารถอ่านเป็นข้อความธรรมดาได้
• Dependency – ส่วนประกอบภายนอกหรือไลบรารีที่โปรเจกต์ซอฟต์แวร์ต้องการดาวน์โหลดและใช้งานร่วมกันเพื่อให้ระบบทำงานได้อย่างสมบูรณ์

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/packagist-supply-chain-attack-infects-8.html