การโจมตีห่วงโซ่อุปทาน Axios เปิดเผยความเสี่ยงต่อแอปคริปโต

การโจมตีห่วงโซ่อุปทานที่รุนแรงได้เกิดขึ้นกับ Axios ซึ่งเป็นหนึ่งในเครื่องมือที่ใช้กันอย่างแพร่หลายที่สุดในการพัฒนาเว็บ นักวิจัยด้านความปลอดภัยจาก Socket Security พบว่าแฮ็กเกอร์ได้แทรกมัลแวร์เข้าไปในเวอร์ชันเฉพาะของไลบรารีที่เผยแพร่บน npm

การโจมตีครั้งนี้อาจส่งผลกระทบต่อแอปคริปโตหลายล้านแอป รวมถึงแพลตฟอร์มคริปโตจำนวนมากที่พึ่งพา Axios ในการเชื่อมต่อกับเซิร์ฟเวอร์ เนื่องจาก Axios ถูกใช้ในระบบจำนวนมาก ความเสี่ยงจึงกว้างขวางและเกิดขึ้นทันที เวอร์ชันที่ได้รับผลกระทบ ได้แก่ axios@1.14.1 และ axios@0.30.4 นักพัฒนาที่ติดตั้งเวอร์ชันเหล่านี้อาจทำให้ระบบของตนเสี่ยงต่อการโจมตีโดยไม่รู้ตัว

การโจมตีเกิดขึ้นได้อย่างไร?

การโจมตีไม่ได้มาจากบั๊กธรรมดา แต่แฮ็กเกอร์ใช้วิธีการโจมตีห่วงโซ่อุปทาน ซึ่งหมายความว่าพวกเขาตั้งเป้าไปที่กระบวนการแจกจ่ายซอฟต์แวร์เอง ในกรณีนี้ ผู้โจมตีได้เพิ่มแพ็กเกจที่เป็นอันตรายชื่อ "plain-crypto-js@4.2.1" เป็น dependency ที่ซ่อนอยู่ แพ็กเกจนี้ไม่เคยเป็นส่วนหนึ่งของ Axios มาก่อน มีคนแทรกมันเข้าไปอย่างเงียบ ๆ ในระหว่างการเผยแพร่

ที่น่ากังวลยิ่งกว่านั้น การเผยแพร่ไม่ได้เป็นไปตามกระบวนการปกติของ Axios ไม่ปรากฏใน GitHub tags อย่างเป็นทางการ สิ่งนี้บ่งชี้ว่าผู้โจมตีได้รับการเข้าถึงระบบเผยแพร่โดยไม่ได้รับอนุญาต รายงานระบุว่าบัญชีผู้ดูแลอาจถูกบุกรุก สิ่งนี้ทำให้ผู้โจมตีสามารถพุชเวอร์ชันที่ติดเชื้อไปยัง npm โดยตรง

มัลแวร์สามารถทำอะไรได้บ้าง?

มัลแวร์ไม่ได้ไม่เป็นอันตราย มันติดตั้งเครื่องมือเข้าถึงระยะไกล หรือที่รู้จักกันในชื่อ RAT เมื่อเข้าสู่ระบบแล้ว มันสามารถรันคำสั่ง รวบรวมข้อมูล และเชื่อมต่อกับเซิร์ฟเวอร์ภายนอกได้ มันทำงานได้ทั้ง macOS, Windows และ Linux การโจมตียังถูกออกแบบให้ซ่อนตัวเองอีกด้วย มันทำงานในระหว่างการติดตั้งแล้วลบร่องรอยของกิจกรรม สิ่งนี้ทำให้การตรวจจับยากขึ้น ด้วยเหตุนี้ แม้แต่นักพัฒนาอาจไม่รู้ตัวว่าระบบของตนได้รับผลกระทบ

ทำไมโปรเจกต์คริปโตจึงมีความเสี่ยง?

แอปคริปโตมักพึ่งพาเครื่องมืออย่าง Axios ในการส่งและรับข้อมูล ซึ่งรวมถึงบริการกระเป๋าเงิน แพลตฟอร์มแลกเปลี่ยน และแอปแบบกระจายอำนาจ หากแอปเหล่านี้ใช้เวอร์ชันที่ได้รับผลกระทบ ผู้โจมตีอาจเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ซึ่งอาจรวมถึง private keys, API tokens หรือข้อมูลผู้ใช้

เนื่องจากโปรเจกต์จำนวนมากใช้การอัปเดตอัตโนมัติ บางโปรเจกต์อาจติดตั้งเวอร์ชันที่ถูกบุกรุกโดยไม่รู้ตัว สิ่งนี้ทำให้สถานการณ์ร้ายแรงยิ่งขึ้น การโจมตียังแสดงให้เห็นว่าจุดอ่อนเพียงจุดเดียวสามารถส่งผลกระทบต่อระบบหลายระบบได้ในครั้งเดียว

นักพัฒนาควรทำอะไรตอนนี้?

ผู้เชี่ยวชาญด้านความปลอดภัยเรียกร้องให้นักพัฒนาดำเนินการอย่างรวดเร็ว ขั้นแรก ตรวจสอบ dependencies และ lockfiles ทั้งหมด มองหาเวอร์ชัน Axios ที่ได้รับผลกระทบและแพ็กเกจที่เป็นอันตราย หากพบ ให้ลบออกทันที จากนั้นเปลี่ยนไปใช้เวอร์ชันที่ปลอดภัยของ Axios

นอกจากนี้ยังสำคัญที่จะต้องตรวจสอบระบบเพื่อหากิจกรรมที่ผิดปกติ ทีมความปลอดภัยต้องจัดการกับสัญญาณการเข้าถึงโดยไม่ได้รับอนุญาตอย่างระมัดระวัง npm registry ได้ลบเวอร์ชันที่เป็นอันตรายออกแล้ว แต่เหตุการณ์ยังอยู่ระหว่างการสอบสวน การโจมตีครั้งนี้เป็นการเตือนที่ชัดเจน แม้แต่เครื่องมือที่เชื่อถือได้ก็สามารถกลายเป็นเป้าหมายได้ ในพื้นที่ที่เคลื่อนไหวอย่างรวดเร็วอย่างคริปโต การเฝ้าระวังไม่ใช่ตัวเลือกอีกต่อไป

โพสต์ Axios Supply Chain Attack Exposes Crypto Apps to Risk ปรากฏครั้งแรกบน Coinfomania