ไวรัสซัพพลายเชน npm ของ Shai-Hulud โจมตีโครงการหลายร้อยโครงการ

หน้าแรก » หลาม » ไวรัสซัพพลายเชน npm ของ Shai-Hulud โจมตีโครงการหลายร้อยโครงการ

ท่ามกลางการตรวจสอบความเสี่ยงจากโอเพนซอร์สที่เข้มงวดยิ่งขึ้น สถานการณ์ขนาดใหญ่ อาตาเก ลา กาเดนา เด ซูมินิสโตร เด เอ็นพีเอ็ม ที่ถูกขนานนามว่า “Shai-Hulud” กำลังเขย่าระบบนิเวศ JavaScript ด้วย แพ็คเกจหลายร้อยรายการที่เกี่ยวข้องและกำลังดำเนินการทำความสะอาดอยู่นักวิจัยกล่าวว่าปฏิบัติการดังกล่าวผสมผสานการบุกรุกบัญชี การเผยแพร่อัตโนมัติ และการขโมยความลับในรูปแบบที่ทำให้ควบคุมได้ยากเป็นพิเศษ

การวิเคราะห์เบื้องต้นชี้ว่าผู้โจมตีใช้บัญชีผู้เผยแพร่ที่เชื่อถือได้ในทางที่ผิดเพื่อส่งการอัปเดตที่ซ่อนไว้ ในขณะที่ ระบบอัตโนมัติแพร่กระจายการเผยแพร่ที่เป็นอันตรายไปยังโครงการยอดนิยมอย่างรวดเร็วเนื่องจากแพ็กเกจ npm ถูกนำมาใช้ซ้ำอย่างแพร่หลาย ผลกระทบแบบต่อเนื่องผ่านโครงสร้างการอ้างอิงจึงน่ากังวลเป็นพิเศษสำหรับทีมที่ต้องพึ่งพาไปป์ไลน์ CI/CD

แคมเปญนี้ถูกพบเห็นได้อย่างไร

นักวิจัยด้านความปลอดภัยสังเกตเห็นกิจกรรมที่น่าสงสัยที่เชื่อมโยงกับโครงการที่อ้างอิงถึงแพ็คเกจที่เกี่ยวข้องกับ CrowdStrike เป็นครั้งแรก ซึ่งกระตุ้นให้มีการตรวจสอบรีจิสทรีในวงกว้างเพื่อค้นหาความผิดปกติและ การอัปโหลดโดยไม่ได้รับอนุญาตจากบัญชีที่ดูถูกกฎหมายเป้าหมายหลายประการดูเหมือนจะเป็นเรื่องปกติในสภาพแวดล้อมขององค์กร ทำให้รัศมีการระเบิดเพิ่มขึ้น

นักพัฒนา Daniel Pereira ออกมาเตือนต่อสาธารณะถึงการโจมตีห่วงโซ่อุปทานขนาดใหญ่ หลังจากที่พยายามเข้าถึงช่องทางความปลอดภัยส่วนตัว โดยเรียกร้องให้นักพัฒนาหลีกเลี่ยงการเผยแพร่ข้อมูลล่าสุด @ctrl/tinycolor แพ็คเกจที่มียอดดาวน์โหลดหลายล้านครั้งต่อสัปดาห์การแจ้งเตือนของเขากระตุ้นให้ทีมรักษาความปลอดภัยหลายทีมประสานงานการสืบสวน

สิ่งที่มัลแวร์พยายามจะขโมย

เมื่อติดตั้งแล้ว แพ็คเกจที่ปนเปื้อนสามารถรันสคริปต์หลังการติดตั้งที่ออกแบบมาเพื่อ กำจัดตัวแปรสภาพแวดล้อม โทเค็น และความลับอื่นๆซึ่งจะทำให้เซิร์ฟเวอร์บิลด์และเวิร์กสเตชันของนักพัฒนามีความเสี่ยงหากดึงเวอร์ชันที่เป็นอันตรายออกมาในระหว่างการติดตั้งหรือการรัน CI

โดยมุ่งเป้าไปที่ระบบ CI/CD โดยเฉพาะ ผู้ปฏิบัติงานจึงพยายามจับภาพข้อมูลการตรวจสอบ เช่น คีย์ผู้ให้บริการคลาวด์ โทเค็นการเข้าถึงส่วนตัว และข้อมูลประจำตัวบริการด้วยสิ่งเหล่านี้ในมือ ศัตรูอาจเคลื่อนไหวในแนวขวาง เข้าสู่เครือข่ายอีกครั้ง และอาจแทรกแซงท่อส่งหรือแอปพลิเคชันที่ละเอียดอ่อนได้

เวิร์มแพร่กระจายระหว่างแพ็คเกจได้อย่างไร

การสืบสวนบ่งชี้ว่าแคมเปญดังกล่าวมีส่วนประกอบที่แพร่กระจายตัวเองโดยดาวน์โหลดแพ็คเกจแต่ละอันที่เป็นของผู้ดูแลระบบที่ถูกบุกรุก แล้วเปลี่ยนแปลง package.json, ฉีด Bundle.js โหลด บรรจุใหม่ และเผยแพร่ซ้ำอีกครั้ง ซึ่งทำให้การสร้างโทรจันในการเผยแพร่ครั้งต่อๆ ไปเป็นไปโดยอัตโนมัติ

มัลแวร์ยังละเมิดเครื่องมือสแกนความลับที่ถูกกฎหมายอีกด้วย ทรัฟเฟิลฮ็อก เพื่อค้นหาข้อมูลประจำตัวที่เปิดเผยและไฟล์การกำหนดค่าที่อ้างอิงชื่อ ไช-ฮูลุด.ยัมล์—เป็นการยกย่องหนอนทรายแห่งดูนที่เป็นแรงบันดาลใจให้กับชื่อปฏิบัติการนี้ การผสมผสานระหว่างการนำกลับมาใช้ซ้ำและระบบอัตโนมัตินี้ช่วยให้ภัยคุกคามคลี่คลายลงอย่างรวดเร็ว

ขอบเขตและแพ็คเกจที่ได้รับผลกระทบจนถึงขณะนี้

นักวิจัยจาก Socket และ Aikido ได้ระบุอย่างน้อย แพ็กเกจ npm ที่ถูกบุกรุก 187 รายการ จนถึงปัจจุบัน คาดว่าจำนวนจะเพิ่มขึ้นเรื่อยๆ เมื่อมีการทบทวนอย่างต่อเนื่อง เนื่องจากแม้แต่การพึ่งพาที่ปนเปื้อนเพียงครั้งเดียวก็สามารถส่งผลกระทบต่อหลายโครงการได้ ความเสี่ยงที่แท้จริงจึงอาจมีมาก

ในบรรดาผู้ที่ได้รับผลกระทบมีแพ็คเกจที่เกี่ยวข้องกับ CrowdStrike เช่น crowdstrike-sdk, crowdstrike-client และ crowdstrike-api—ควบคู่ไปกับโมดูลยอดนิยมอื่นๆ การเน้นที่ไลบรารีที่อ้างอิงถึงองค์กร ชี้ให้เห็นว่าผู้ปฏิบัติงานพยายามแสวงหาประโยชน์สูงสุดในการดำเนินงาน

เบาะแสเกี่ยวกับต้นกำเนิดและเส้นเวลา

ReversingLabs รายงานว่าการระบาดน่าจะสืบย้อนกลับไปถึงการปล่อยสารที่เป็นอันตราย การรับรองความถูกต้อง rxnt เผยแพร่เมื่อวันที่ 14 กันยายน 2025 ด้วยบัญชี npm ฝ่ายสนับสนุนด้านเทคนิค ถูกวางตัวเป็นผู้ป่วยรายแรก ยังไม่มีความชัดเจนว่าบัญชีดังกล่าวถูกละเมิดได้อย่างไร โดยมีสมมติฐานตั้งแต่การฟิชชิ่งไปจนถึงการละเมิด GitHub Action ที่มีช่องโหว่

บริษัทหลายแห่งกล่าวถึง Shai-Hulud ว่าเป็นสิ่งที่ไม่เคยเกิดขึ้นมาก่อน เวิร์มแพ็กเกจ npm ที่สามารถจำลองตัวเองได้ซึ่งยังขโมยโทเค็นคลาวด์อีกด้วยในขณะที่การระบุแหล่งที่มากำลังดำเนินอยู่ โปรไฟล์ทางเทคนิคเน้นย้ำว่าระบบอัตโนมัติที่ควบคุมโดยผู้โจมตีสามารถเปลี่ยนตัวจัดการแพ็คเกจให้กลายเป็นช่องทางการจัดจำหน่ายที่มีประสิทธิภาพได้อย่างไร

การตอบสนองและการทำความสะอาดของอุตสาหกรรม

รีจิสทรี npm และพันธมิตรด้านความปลอดภัยถูกย้ายไปยัง ลบแพ็คเกจที่เป็นอันตราย แจ้งผู้เผยแพร่ และออกคำแนะนำ สำหรับการตรวจสอบการอ้างอิง ขอแนะนำให้นักพัฒนาตรวจสอบไฟล์ล็อกและประวัติเวอร์ชัน โดยเฉพาะช่วงกลางเดือนกันยายน 2025 ที่มีการเผยแพร่

CrowdStrike ระบุว่าได้ลบแพ็คเกจที่เป็นอันตรายออกจาก npm สาธารณะอย่างรวดเร็ว ทำการหมุนเวียนคีย์โดยอัตโนมัติ และยืนยันว่า เซ็นเซอร์ Falcon ไม่ได้ใช้โมดูลเหล่านั้น และยังคงให้การคุ้มครองลูกค้าอยู่บริษัทกำลังร่วมมือกับ npm และดำเนินการตรวจสอบอย่างครอบคลุม

ขั้นตอนปฏิบัติสำหรับทีม

องค์กรต่างๆ ควรตรวจสอบโครงการทันทีเพื่อหาตัวบ่งชี้ที่ทราบ โดยจัดลำดับความสำคัญ รายการการอ้างอิง ไฟล์ล็อค และบันทึกการสร้าง CIหมุนเวียนโทเค็นและข้อมูลรับรองที่อาจเปิดเผย รวมถึงโทเค็น npm, GitHub PAT และคีย์คลาวด์

• ลบหรือปักหมุดแพ็คเกจที่ได้รับผลกระทบและย้อนกลับไปยังเวอร์ชันที่ปลอดภัย สร้างใหม่จากสภาพแวดล้อมที่สะอาด
• เปิดใช้งาน 2FA บังคับสำหรับบัญชีผู้เผยแพร่ npm และบังคับใช้โทเค็นสิทธิ์ต่ำสุดใน CI/CD
• สแกนการอ้างอิงและสิ่งประดิษฐ์อย่างต่อเนื่องเพื่อแก้ไข ตรวจสอบพฤติกรรมหลังการติดตั้งที่ผิดปกติ
• ตั้งค่าการแจ้งเตือนสำหรับการเผยแพร่ที่ไม่คาดคิดจากองค์กรของคุณและตรวจสอบความสมบูรณ์ของแพ็คเกจก่อนโปรโมต

เพื่อลดการเปิดเผยในอนาคต ให้แนะนำการตรวจสอบอัตโนมัติที่บล็อกสคริปต์ที่น่าสงสัยในระหว่างการติดตั้ง และ ตรวจสอบแหล่งที่มาของการอ้างอิงใหม่หรือที่อัปเดตก่อนที่จะถึงการผลิตการตรวจสอบการเข้าถึงของผู้ดูแลระบบ การปกป้องที่เก็บข้อมูล และนโยบายการลงนามสามารถทำให้ห่วงโซ่มีความแข็งแกร่งยิ่งขึ้น

แคมเปญ Shai-Hulud ได้เผยให้เห็นว่าผู้กระทำที่มุ่งมั่นสามารถนำความไว้วางใจในทะเบียนความนิยมมาใช้เป็นอาวุธได้รวดเร็วเพียงใด โดยใช้ บัญชีที่ถูกบุกรุก การแพร่กระจายแบบหนอน และการเก็บเกี่ยวแบบลับ เพื่อขยายผลกระทบ การเฝ้าระวัง การแก้ไขอย่างรวดเร็ว และการควบคุมผู้เผยแพร่ที่เข้มงวดยิ่งขึ้น ถือเป็นสิ่งที่มีความสำคัญเร่งด่วนสำหรับทีมงานต่างๆ ทั่วทั้งระบบนิเวศ

บทความที่เกี่ยวข้อง:

การโจมตีห่วงโซ่อุปทาน NPM ที่แพร่หลายทำให้ระบบนิเวศ JavaScript สั่นคลอน