แพลตฟอร์ม Packagist กลายเป็นเป้าหมายของการโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) ที่เป็นระบบและมีการวางแผนอย่างดี โดยมีแพ็กเกจจำนวน 8 รายการถูกแทรกโค้ดมัลแวร์เพื่อดาวน์โหลดไฟล์ไบนารีของ Linux ที่มีความเป็นอันตรายจาก GitHub Releases การโจมตีครั้งนี้ถูกเปิดเผยโดยทีมงานของ Socket ซึ่งระบุว่ากลุ่มผู้โจมตีได้ใช้วิธีการที่ซับซ้อนในการหลบเลี่ยงการตรวจจับ

สิ่งที่น่าสนใจและทำให้การโจมตีครั้งนี้มีความแตกต่างจากเหตุการณ์อื่นๆ คือ กลไกการแพร่ระบาดของมัลแวร์ แม้ว่าแพ็กเกจที่ถูกบุกรุกทั้งหมดจะเป็นแพ็กเกจสำหรับ Composer (ซึ่งเป็นตัวจัดการแพ็กเกจของภาษา PHP) แต่ผู้โจมตีกลับไม่ได้แทรกโค้ดเพิ่มเติมลงในไฟล์ composer. ที่ใช้ควบคุมการทำงานของ PHP แต่อย่างใด

ทว่า โค้ดที่เป็นอันตรายถูกแอบแทรกซ่อนเอาไว้ในไฟล์ package. ซึ่งเป็นไฟล์คอนฟิกของ JavaScript โดยตรง การใช้วิธีการนี้บ่งชี้ว่ามัลแวร์ดังกล่าวถูกออกแบบมาเพื่อเจาะจงโจมตีโปรเจกต์ที่มีการรวมกลุ่มของ JavaScript (JavaScript Bundling) หรือโปรเจกต์ที่ใช้ทั้ง PHP และ JavaScript ร่วมกัน ทำให้ขอบเขตของการโจมตีไม่ได้จำกัดอยู่แค่ระบบนิเวศของ PHP เท่านั้น

คำศัพท์เทคนิคที่น่าสนใจ

• Supply Chain Attack – การโจมตีห่วงโซ่อุปทาน ซึ่งเป็นการแทรกโค้ดที่เป็นอันตรายลงในเครื่องมือหรือไลบรารีที่นักพัฒนานิยมใช้งาน เพื่อให้มัลแวร์แพร่กระจายเข้าสู่ระบบของผู้ใช้งานโดยอัตโนมัติ
• Packagist – ระบบ Repositories หลักสำหรับการจัดเก็บแพ็กเกจของภาษา PHP ที่ทำงานร่วมกับตัวจัดการแพ็กเกจที่ชื่อว่า Composer
• Composer – เครื่องมือตัวจัดการแพ็กเกจ (Package Manager) สำหรับภาษา PHP ที่ใช้ในการติดตั้งและจัดการไลบรารีต่างๆ ที่โปรเจกต์ต้องการใช้งาน
• Binary / Binary File – ไฟล์ไบนารี คือไฟล์ที่ถูกคอมไพล์ (Compile) จากโค้ดต้นฉบับเป็นภาษาเครื่อง (Machine Code) ซึ่งคอมพิวเตอร์สามารถทำงานหรือ Execute ได้โดยตรง มักถูกใช้ในการซ่อนมัลแวร์เพื่อหลบเลี่ยงการตรวจสอบโค้ด

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/packagist-supply-chain-attack-infects-8.html