การละเมิดความปลอดภัยครั้งใหญ่ได้เกิดขึ้นกับชุมชนนักพัฒนา JavaScript เมื่อระบบ build NX ที่ได้รับความนิยมตกเป็นเหยื่อของการโจมตี supply chain ที่ซับซ้อน โดยใช้ประโยชน์จากปัญญาประดิษฐ์ในการขโมยข้อมูลสำคัญของนักพัฒนา นักพัฒนาอย่างน้อย 1,400 คนพบ repository ที่เป็นอันตรายถูกสร้างขึ้นในบัญชี GitHub ของพวกเขา ซึ่งมี wallet ที่ถูกขโมย API keys และข้อมูลประจำตัวอื่นๆ
การโจมตีครั้งนี้มุ่งเป้าไปที่ NX ซึ่งเป็นเครื่องมือ monorepo build ที่ใช้กันอย่างแพร่หลาย ให้บริการนักพัฒนา 2.5 ล้านคนต่อวัน และถูกใช้โดยบริษัทใน Fortune 500 กว่า 70% เวอร์ชันที่เป็นอันตรายถูกเผยแพร่ไปยัง npm ระหว่างวันที่ 26-27 สิงหาคม 2025 ส่งผลกระทบต่อเวอร์ชัน 21.5.0-21.8.0 และ 20.6.0-20.12.0
เวอร์ชัน NX ที่ได้รับผลกระทบ:
- v21.5.0 - v21.8.0
- v20.6.0 - v20.12.0
ไทม์ไลน์การโจมตี:
- 2025-08-26 ~06:00 PM PDT: เวอร์ชันที่มีมัลแวร์ถูกเผยแพร่
- 2025-08-26 ~08:30 PM PDT: ผู้ใช้รายแรกรายงานกิจกรรมที่น่าสงสัย
- 2025-08-26 ~10:45 PM PDT: npm ลบเวอร์ชันที่ถูกบุกรุกออก
- 2025-08-27 ~01:00 AM PDT: ระบุขอบเขตเพิ่มเติม
การขโมยข้อมูลด้วย AI เป็นจุดเริ่มต้นของการโจมตีรูปแบบใหม่
สิ่งที่ทำให้การละเมิดครั้งนี้น่าเป็นห่วงเป็นพิเศษคือการใช้เครื่องมือ AI command-line อย่าง Claude Code และ Gemini CLI อย่างสร้างสรรค์ของผู้โจมตี เพื่อทำให้การค้นหาไฟล์สำคัญเป็นไปโดยอัตโนมัติ แทนที่จะเขียนโค้ดค้นหาแบบตายตัวที่เครื่องมือรักษาความปลอดภัยอาจตรวจพบได้ malware ก็สั่งให้ผู้ช่วย AI เหล่านี้ค้นหา cryptocurrency wallets, private keys และข้อมูลที่มีค่าอื่นๆ ในระบบที่ติดเชื้อ
โค้ดที่เป็นอันตรายทำงานผ่าน post-install script ของ NX โดยสแกนหาเครื่องมือ AI แล้วสั่งให้พวกมันค้นหาไฟล์ที่ตรงกับรูปแบบที่เกี่ยวข้องกับ wallet ทั่วทั้งระบบของผู้ใช้ วิธีการนี้ช่วยให้ผู้โจมตีสามารถมอบหมายงาน fingerprinting ส่วนใหญ่ให้กับ AI prompts ทำให้การตรวจจับด้วยเครื่องมือรักษาความปลอดภัยแบบดั้งเดิมยากขึ้นอย่างมาก
การตอบสนองของชุมชนเน้นย้ำความกังวลด้านความปลอดภัยในวงกว้าง
ปฏิกิริยาของชุมชนนักพัฒนามีความรวดเร็วแต่แบ่งแยกในเรื่องความรับผิดชอบและการป้องกัน หลายคนตั้งคำถามว่าทำไมผู้ช่วยเขียนโค้ด AI ถึงมีสิทธิ์เข้าถึง filesystem อย่างกว้างขวางโดยค่าเริ่มต้น ในขณะที่คนอื่นๆ ชี้ไปที่ข้อบกพร่องพื้นฐานในความปลอดภัยของ package manager
กระบวนทัศน์ความปลอดภัยแบบหลายผู้ใช้ของ Unix ไม่เพียงพออีกต่อไปในโลกปัจจุบันที่ผู้ใช้คนเดียวใช้แอปที่ไม่น่าเชื่อถือ
นักพัฒนาหลายคนกำลังสนับสนุนการ sandboxing ที่เข้มงวดขึ้นสำหรับเครื่องมือพัฒนาและผู้ช่วย AI บางคนได้ย้ายไปทำงานพัฒนาทั้งหมดใน virtual machines หรือ containers เพื่อจำกัดความเสียหายที่อาจเกิดขึ้นจากการโจมตีที่คล้ายกัน
เหตุการณ์นี้ยังได้จุดประกายการถกเถียงเกี่ยวกับโมเดลความปลอดภัยของ npm โดยหลายคนเรียกร้องให้มีการลงนามโค้ดแบบบังคับและการตรวจสอบผู้เผยแพร่แพ็กเกจที่ดีขึ้น ปัจจุบันการโจมตี API token เพียงตัวเดียวสามารถทำให้ผู้โจมตีเผยแพร่อัปเดตที่เป็นอันตรายไปยังแพ็กเกจที่ใช้กันอย่างแพร่หลายได้
สถิติผลกระทب:
- ผู้ใช้ที่ได้รับผลกระทบยืนยันแล้วอย่างน้อย 1,400 ราย
- นักพัฒนา 2.5 ล้านคนใช้ NX ทุกวัน
- บริษัทใน Fortune 500 กว่า 70% ใช้ NX
- พบ GitHub token ที่ถูกต้องหลายพันรายการรั่วไหล
- ข้อมูลประจำตัว cloud และ NPM token ที่ถูกต้องหลายสิบรายการถูกบุกรุก
- ไฟล์ที่รั่วไหลทั้งหมดประมาณ 20,000 ไฟล์
การดำเนินการทันทีสำหรับนักพัฒนาที่ได้รับผลกระทบ
นักพัฒนาที่ใช้เวอร์ชัน NX ที่ถูกโจมตีควรตรวจสอบบัญชี GitHub ของตนทันทีเพื่อหา repository ที่ชื่อ singularity-repository หรือรูปแบบที่คล้ายกัน สิ่งเหล่านี้มีข้อมูลที่ถูกขโมยในรูปแบบ base64-encoded dumps ที่ถูกสร้างขึ้นโดยอัตโนมัติโดย malware
การโจมตียังได้แก้ไขไฟล์การกำหนดค่า shell เพื่อเพิ่มคำสั่ง shutdown ซึ่งสร้างสภาวะ denial-of-service สำหรับ terminal sessions ใหม่ ผู้ใช้ที่ได้รับผลกระทบจำเป็นต้องทำความสะอาดไฟล์ .bashrc และ .zshrc ของตน พร้อมทั้งเปลี่ยนข้อมูลประจำตัวที่อาจถูกโจมตีทั้งหมด รวมถึง GitHub tokens, npm keys, SSH keys และการเข้าถึง cryptocurrency wallet
Package managers อย่าง pnpm และ bun ให้การป้องกันบางอย่างโดยค่าเริ่มต้น เนื่องจากพวกมันไม่ทำงาน install scripts โดยอัตโนมัติ สิ่งนี้ได้เรียกร้องให้ npm นำแนวทางที่ให้ความสำคัญกับความปลอดภัยที่คล้ายกันมาใช้
คำแนะนำด้านความปลอดภัย:
- ปิดการใช้งาน npm install scripts ทั่วโลก:
npm config set ignore-scripts true - ใช้ package managers อย่าง pnpm หรือ bun ที่ไม่รัน scripts โดยค่าเริ่มต้น
- รันเครื่องมือพัฒนาใน sandboxed containers หรือ VMs
- ตรวจสอบ repositories ที่เป็นอันตราย:
singularity-repository*ในบัญชี GitHub - เปลี่ยน credentials ทั้งหมดที่อาจถูกบุกรุก ( GitHub , npm , SSH keys , crypto wallets )
มองไปข้างหน้า: ความเป็นจริงใหม่ของการโจมตีที่เสริมด้วย AI
การละเมิดครั้งนี้เป็นจุดเปลี่ยนสำคัญสำหรับความปลอดภัยของ software supply chain เมื่อเครื่องมือ AI กลายเป็นที่แพร่หลายมากขึ้นใน development workflows พวกมันกำลังสร้างพื้นผิวการโจมตีใหม่ที่มาตรการรักษาความปลอดภัยแบบดั้งเดิมไม่ได้ถูกออกแบบมาเพื่อจัดการ
เหตุการณ์นี้แสดงให้เห็นว่าผู้โจมตีกำลังปรับตัวเพื่อใช้ประโยชน์จากเครื่องมือ AI เดียวกันที่นักพัฒนาพึ่งพาทุกวัน ด้วยความสามารถในการปรับตัวแบบไดนามิกกับการกำหนดค่าระบบที่แตกต่างกันผ่าน natural language prompts การโจมตีในอนาคตอาจซับซ้อนและยากต่อการคาดเดามากขึ้น
สำหรับชุมชนนักพัฒนาในวงกว้าง สิ่งนี้เป็นสัญญาณเตือนเกี่ยวกับผลกระทบด้านความปลอดภัยของเครื่องมือพัฒนาที่ช่วยเหลือด้วย AI และความจำเป็นเร่งด่วนสำหรับ sandboxing และโมเดลการอนุญาตที่ดีขึ้นในสภาพแวดล้อมการพัฒนาสมัยใหม่
อ้างอิง: Security Alert | NX Compromised to Steal Wallets and Credentials