TH
TH
เกี่ยวกับเรา
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
ข่าว
ซอฟต์แวร์
กิทฮับ
เทคโนโลยีสารสนเทศ
ความปลอดภัยทางไซเบอร์

นักวิจัยด้านความปลอดภัยถกเถียงการวัดผลกระทบหลังพบ Repository ที่มีมัลแวร์ใน GitHub จำนวน 2,400 แห่ง

ทีมชุมชน BigGo
นักวิจัยด้านความปลอดภัยถกเถียงการวัดผลกระทบหลังพบ Repository ที่มีมัลแวร์ใน GitHub จำนวน 2,400 แห่ง

ชุมชนด้านความปลอดภัยทางไซเบอร์กำลังมีการอภิปรายอย่างเข้มข้นเกี่ยวกับวิธีการวัดและสื่อสารผลกระทบของการโจมตี supply chain อย่างเหมาะสม หลังจากที่ Klarrio เพิ่งค้นพบเครือข่ายมัลแวร์ขนาดใหญ่บน GitHub แม้ว่าขนาดของการดำเนินการจะน่าประทับใจ - Repository ที่ติดเชื้อ 2,400 แห่งและบัญชีปลอม 15,000 บัญชี - แต่ผู้เชี่ยวชาญกำลังตั้งคำถามว่าตัวเลขดิบเพียงอย่างเดียวจะบอกเล่าเรื่องราวทั้งหมดได้หรือไม่

ขนาดของเครือข่ายมัลแวร์:

  • ค้นพบ repository ที่ติดเชื้อ 2,400 แห่ง
  • ใช้บัญชีปลอม 15,000 บัญชีสำหรับการจัดการคะแนนรีวิว
  • ระบุโดเมนที่เป็นอันตราย 18 โดเมนสำหรับส่งมอบ payload
  • เป้าหมายหลัก: โปรเจกต์ภาษาโปรแกรม Go

ชิ้นส่วนที่หายไป: ผลกระทบจริงเทียบกับภัยคุกคามที่เป็นไปได้

ผู้เชี่ยวชาญด้านความปลอดภัยกำลังชี้ให้เห็นช่องว่างที่สำคัญในการรายงานการค้นพบเหล่านี้ การมุ่งเน้นไปที่ปริมาณของกิจกรรมที่เป็นอันตรายไม่ได้ตอบคำถามที่สำคัญที่สุด: มีนักพัฒนากี่คนที่ดาวน์โหลดและใช้แพ็กเกจที่ถูกบุกรุกเหล่านี้จริงๆ? การถกเถียงนี้เน้นย้ำถึงปัญหาที่เกิดขึ้นซ้ำๆ ในการรายงานด้านความปลอดภัยทางไซเบอร์ ที่ขนาดของกิจกรรมที่เป็นอันตรายมักจะบดบังการประเมินผลกระทบที่แท้จริง

ผู้เชี่ยวชาญด้านความปลอดภัยคนหนึ่งสังเกตว่าแพลตฟอร์มอย่าง GitHub, NPM และ PyPI มักจะเห็นการรายงานที่น่าตื่นเต้นเกี่ยวกับแพ็กเกจที่เป็นอันตรายหลายร้อยแพ็กเกจ แต่ไม่ค่อยให้ข้อมูลเกี่ยวกับผลกระทบที่ตามมา ความกังวลคือหากไม่เข้าใจผลกระทบในโลกแห่งความเป็นจริง จะเป็นการยากที่จะประเมินความเสี่ยงอย่างเหมาะสมและจัดสรรทรัพยากรด้านความปลอดภัยอย่างมีประสิทธิภาพ

เกมตัวเลข: เหตุใดขนาดจึงยังคงสำคัญ

อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยคนอื่นๆ โต้แย้งว่าการเพิกเฉยต่อแคมเปญการหว่านเมล็ดขนาดใหญ่เป็นการพลาดประเด็นโดยสิ้นเชิง กลยุทธ์การโจมตีอาศัยหลักการง่ายๆ: ยิ่งหว่านเมล็ดที่เป็นอันตรายมากเท่าไหร่ โอกาสสำเร็จก็ยิ่งสูงขึ้นเท่านั้น แพลตฟอร์มเหล่านี้ทำหน้าที่เป็นพื้นที่เตรียมการที่เหมาะสมเพราะองค์กรวิศวกรรมส่วนใหญ่จะไม่บล็อกการเข้าชมจากแหล่งที่เชื่อถือได้อย่าง GitHub

ความไม่สมดุลนั้นชัดเจน: ผู้โจมตีต้องการความสำเร็จเพียงครั้งเดียว ต้องใช้เพียงนักพัฒนาคนเดียวที่ติดตั้งแพ็กเกจที่ถูกบุกรุกเพื่อก่อให้เกิดการละเมิดที่อาจมีผลกระทบขนาดใหญ่ตามมา

วิธีการโจมตีที่ Klarrio ค้นพบนั้นเป็นไปตามรูปแบบที่ซับซ้อน บอทจะโคลน repository ที่ได้รับความนิยม นำกลับมาใช้ภายใต้บัญชีใหม่ที่มีชื่อเหมือนกัน และแทรกมัลแวร์ในระหว่างกระบวนการ บางรูปแบบยังใช้ AI เพื่อเขียนไฟล์ใหม่อย่างต่อเนื่อง สร้างความประทับใจเท็จเกี่ยวกับการมีส่วนร่วมของชุมชนที่กระตือรือร้น บัญชีปลอมหลายบัญชีจากนั้นจะเพิ่มคะแนนให้กับ repository ที่เป็นอันตรายเหล่านี้ด้วยคะแนนสูง ทำให้ดูน่าเชื่อถือมากกว่าโครงการต้นฉบับ

รูปแบบวิธีการโจมตี:

  1. บอทโคลนที่เก็บข้อมูลที่ได้รับความนิยม
  2. นำโปรเจกต์กลับมาใช้ใหม่ภายใต้บัญชีใหม่ที่มีชื่อเดียวกัน
  3. ฉีดมัลแวร์ระหว่างกระบวนการโคลน
  4. AI เขียนไฟล์ใหม่เพื่อจำลองกิจกรรมของชุมชน
  5. บัญชีปลอมให้คะแนนสูง
  6. นักพัฒนาที่ไม่สงสัยดาวน์โหลดโค้ดที่ถูกบุกรุก

บริบทที่กว้างขึ้นของการใช้ประโยชน์จากความไว้วางใจ

การค้นพบนี้เข้ากับรูปแบบที่ใหญ่กว่าที่นักวิจัยด้านความปลอดภัยเห็นทุกวัน ผู้โจมตีใช้ประโยชน์จากเว็บไซต์และแพลตฟอร์มที่เชื่อถือได้มากขึ้นเพื่อโฮสต์และส่งมอบมัลแวร์เป็นกลยุทธ์การหลบหลีก เทคนิคนี้ได้กลายเป็นเรื่องธรรมดามากจนองค์กรบางแห่งกำลังใช้มาตรการที่รุนแรง โดยบล็อกการเข้าชมไปยังโดเมนที่มีความเสี่ยงสูงและบริการโฮสต์ไฟล์อย่าง Dropbox โดยสิ้นเชิง

มัลแวร์ในกรณีนี้ดึงข้อมูล payload จากรูปแบบ URL เฉพาะใน 18 โดเมนที่แตกต่างกัน รวมถึง alturastreet.icu, carvecomi.fun และ liquitydevve.online โครงสร้างพื้นฐานนี้บ่งบอกถึงการดำเนินงานที่มีการจัดระเบียบอย่างดีมากกว่าการโจมตีแบบฉวยโอกาส

ตัวอย่างโดเมนที่เป็นอันตราย:

  • alturastreet.icu
  • carvecomi.fun
  • hyperwordstatus.icu
  • liquitydevve.online
  • mantrabowery.icu
  • steemapi.site
  • uniscomputer.icu
  • vanartest.website

บทสรุป

ในขณะที่ชุมชนด้านความปลอดภัยทางไซเบอร์ยังคงถกเถียงเกี่ยวกับวิธีที่ดีที่สุดในการวัดและสื่อสารความเสี่ยงของ supply chain สิ่งหนึ่งที่ยังคงชัดเจน: ภัยคุกคามนั้นเป็นจริงและกำลังพัฒนา ไม่ว่าจะมุ่งเน้นไปที่ขนาดหรือผลกระทบ การอภิปรายนั้นเองก็แสดงถึงความก้าวหน้าในการเข้าใจการโจมตีที่ซับซ้อนเหล่านี้ ในขณะที่องค์กรเข้มงวดกระบวนการรับเข้าโอเพนซอร์สและใช้มาตรการคัดกรองที่ดีขึ้น ความสมดุลระหว่างการเข้าถึงได้และความปลอดภัยยังคงเป็นความท้าทายต่อชุมชนนักพัฒนา

เหตุการณ์นี้เป็นการเตือนใจว่าในด้านความปลอดภัยทางไซเบอร์ ทั้งศักยภาพในการเป็นอันตรายและอันตรายที่แท้จริงล้วนมีความสำคัญ - และการวัดทั้งสองอย่างอย่างแม่นยำยังคงเป็นความท้าทายที่ต่อเนื่องสำหรับนักวิจัยและองค์กร

อ้างอิง: Klarrio Discovers Large-Scale Malware Network on GitHub

ข่าวที่เกี่ยวข้อง