แพลตฟอร์ม Packagist กลายเป็นเป้าหมายของการโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) ที่ถูกวางแผนอย่างประสานงาน โดยมีแพ็กเกจจำนวน 8 รายการถูก植入โค้ดมัลแวร์ที่ซ่อนอยู่ โค้ดดังกล่าวถูกออกแบบมาเพื่อดาวน์โหลดและรันไบนารีมัลแวร์บนระบบปฏิบัติการ Linux โดยตรงจาก URL ของ GitHub Releases ซึ่งทำให้การโจมตีดูเหมือนมาจากแหล่งที่น่าเชื่อถือ
cu
สิ่งที่น่าสนใจและทำให้การโจมตีครั้งนี้มีความซับซ้อนคือ กลุ่มผู้โจมตีไม่ได้แทรกโค้ดมัลแวร์ลงในไฟล์ composer. ซึ่งเป็นไฟล์หลักของแพ็กเกจ PHP (Composer) แต่กลับแทรกโค้ดดังกล่าวลงในไฟล์ package. ซึ่งเป็นไฟล์คอนฟิกของ JavaScript (Node.js) ทั้งนี้เพื่อกลั่นกรองเป้าหมายไปยังโปรเจกต์ที่มีการทำงานร่วมกันหรือจัดส่งไฟล์ JavaScript โดยเฉพาะ
cu
การใช้กลยุทธ์ในการซ่อนโค้ดมัลแวร์ในไฟล์คอนฟิกของภาษาอื่น (Cross-language payload) นี้ สะท้อนให้เห็นถึงวิวัฒนาการของเทคนิคการโจมตีที่ล้ำลึกและพยายามหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัยอัตโนมัติที่มักจะตรวจสอบเฉพาะในบริบทของภาษาหลักของแพ็กเกจนั้นๆ นักพัฒนาที่ใช้งาน Packagist จึงควรตรวจสอบการพึ่งพาอย่างรอบคอบ โดยเฉพาะไฟล์ที่ไม่ควรมีอยู่ในโปรเจกต์ประเภทนั้น

คำศัพท์เทคนิคที่น่าสนใจ

• Supply Chain Attack – การโจมตีห่วงโซ่อุปทาน คือการแทรกซึมมัลแวร์เข้าไปในซอฟต์แวร์หรือไลบรารีที่นักพัฒนาคนอื่นนำไปใช้ต่อ เพื่อให้สามารถแพร่กระจายไปยังเป้าหมายได้อย่างกว้างขวาง
• Packagist – แพลตฟอร์มหรือที่เก็บซอฟต์แวร์ (Repository) หลักสำหรับภาษา PHP ที่ใช้ร่วมกับเครื่องมือ Composer ในการจัดการแพ็กเกจ
• Binary – ไฟล์ไบนารี คือไฟล์โปรแกรมที่ถูกคอมไพล์แล้วและอยู่ในรูปแบบภาษาเครื่อง (Machine Code) ซึ่งพร้อมสำหรับให้คอมพิวเตอร์ประมวลผลโดยตรง มักใช้เป็นตัวบรรจุมัลแวร์เนื่องจากยากต่อการตรวจสอบโค้ด
• Cross-language payload – เพย์โหลดข้ามภาษา คือเทคนิคการแทรกโค้ดหรือคำสั่งของภาษาโปรแกรมหนึ่ง (เช่น JavaScript) ซ่อนอยู่ในโปรเจกต์ของอีกภาษาหนึ่ง (เช่น PHP) เพื่อลดความสงสัยและหลีกเลี่ยงเครื่องมือสแกนความปลอดภัย

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/packagist-supply-chain-attack-infects-8.html