เกิดเหตุการณ์โจมตีห่วงโซ่อุปทาน (Supply Chain Attack) ที่ถูกวางแผนมาอย่างดีบนแพลตฟอร์ม Packagist ส่งผลกระทบต่อแพ็กเกจจำนวน 8 รายการ โดยผู้โจมตีได้แทรกโค้ดที่เป็นอันตรายเพื่อดาวน์โหลดและรันไบนารีมัลแวร์บนระบบปฏิบัติการ Linux ซึ่งไฟล์ดังกล่าวถูกซ่อนไว้บนเซิร์ฟเวอร์ของ GitHub ในส่วนของ GitHub Releases

จากการวิเคราะห์ของทีมนักวิจัยจาก Socket พบว่าวิธีการโจมตีในครั้งนี้มีความแปลกใหม่และซับซ้อน แม้ว่าแพ็กเกจที่ถูกบุกรุกจะเป็นแพ็กเกจสำหรับ Composer (PHP) ทั้งหมด แต่โค้ดมัลแวร์นั้นไม่ได้ถูกแทรกไว้ในไฟล์ composer. ตามปกติ แต่ถูกซ่อนเอาไว้ในไฟล์ package. ซึ่งเป็นไฟล์คอนฟิกของ JavaScript โดยตรง ทำให้มันสามารถลอบเข้าไปทำงานในโปรเจกต์ที่มีการใช้งาน JavaScript อยู่ด้วย

เทคนิคการหลบเลี่ยงการตรวจจับดังกล่าวสะท้อนให้เห็นถึงการปรับเปลี่ยนพฤติกรรมของกลุ่มผู้โจมตีที่พยายามหาช่องโหว่และวิธีการใหม่ๆ เพื่อหลบผ่านระบบรักษาความปลอดภัยแบบดั้งเดิม นักพัฒนาที่ใช้งานแพ็กเกจจาก Packagist จึงควรตรวจสอบการพึ่งพาในโปรเจกต์ของตนเองอย่างระมัดระวัง โดยเฉพาะการตรวจสอบไฟล์ที่ไม่ควรมีอยู่ในโปรเจกต์ PHP ปกติ เช่น package. เพื่อป้องกันไม่ให้ระบบติดเชื้อมัลแวร์ที่อาจนำไปสู่การควบคุมระบบหรือขโมยข้อมูลได้

คำศัพท์เทคนิคที่น่าสนใจ

• Supply Chain Attack – การโจมตีห่วงโซ่อุปทาน ซึ่งเป็นการแทรกโค้ดที่เป็นอันตรายลงในซอฟต์แวร์หรือไลบรารีภายนอกที่นักพัฒนานิยมนำมาใช้งาน เพื่อให้มัลแวร์ลากเข้าสู่ระบบของเหยื่อทางอ้อม
• Packagist – รีจิสทรีหลักสำหรับการจัดการแพ็กเกจของภาษา PHP (Composer) ที่นักพัฒนานิยมดาวน์โหลดไลบรารีมาใช้ในโปรเจกต์
• Malware Binary – ไฟล์ประมวลผลที่ถูกคอมไพล์แล้ว (Executable) ซึ่งถูกสร้างขึ้นมาเพื่อทำงานที่เป็นอันตรายหรือเป็นมัลแวร์บนระบบปฏิบัติการโดยตรง
• GitHub Releases – ฟีเจอร์บน GitHub ที่ใช้สำหรับจัดเก็บไฟล์ไบนารีหรือซอร์สโค้ดเวอร์ชันสำเร็จรูป ซึ่งผู้โจมตีนิยมใช้เป็นที่ซ่อนมัลแวร์เพราะดูเหมือนไฟล์ทั่วไปที่น่าเชื่อถือ

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/packagist-supply-chain-attack-infects-8.html