ด่วน! ตรวจพบมัลแวร์ "Miasma" แฝงตัวใน npm Package ของ Red Hat พุ่งเป้าขโมยข้อมูลคลาวด์ กระทบยอดดาวน์โหลดกว่า 8 หมื่นครั้งต่อสัปดาห์!
ด่วน! ตรวจพบมัลแวร์ "Miasma" แฝงตัวใน npm Package ของ Red Hat พุ่งเป้าขโมยข้อมูลคลาวด์ กระทบยอดดาวน์โหลดกว่า 8 หมื่นครั้งต่อสัปดาห์!
เมื่อวันที่ 1 มิถุนายน 2026 ทีมวิจัยจาก Wiz ได้รายงานการตรวจพบการโจมตีทางไซเบอร์แบบ Supply Chain Compromise ครั้งใหญ่ ซึ่งส่งผลกระทบต่อแพ็กเกจ npm ภายใต้ชื่อ namespace @redhat-cloud-services. จากการสืบสวนพบว่ามีแพ็กเกจอย่างน้อย 32 รายการถูกแอบแฝงโค้ดอันตราย โดยแพ็กเกจเหล่านี้มียอดดาวน์โหลดรวมเฉลี่ยสูงถึง 80,000 ครั้งต่อสัปดาห์.
"Miasma" ภัยคุกคามใหม่ที่พุ่งเป้าเจาะระบบคลาวด์ มัลแวร์ตัวนี้มีชื่อว่า Miasma ซึ่งถูกดัดแปลงมาจากมัลแวร์โอเพนซอร์สชื่อ (Mini) Shai-Hulud. มัลแวร์ทำงานโดยใช้สคริปต์แบบ preinstall ที่จะรันไฟล์ประสงค์ร้ายโดยอัตโนมัติระหว่างที่ผู้ใช้งานทำการติดตั้งแพ็กเกจ. สิ่งที่น่ากลัวสำหรับมัลแวร์สายพันธุ์นี้คือ การเพิ่มความสามารถในการเก็บรวบรวมข้อมูลยืนยันตัวตน (Identities) บนคลาวด์ ทั้งของระบบ GCP และ Azure เพื่อมุ่งเน้นการเข้าถึงและเจาะเข้าสู่ระบบคลาวด์ของผู้ใช้โดยตรง. นอกจากนี้ มัลแวร์ยังหลบหลีกการตรวจจับได้เก่งขึ้น ด้วยการสร้างเพย์โหลดที่เข้ารหัสแตกต่างกันไปในการติดตั้งแต่ละครั้ง ทำให้การใช้ระบบตรวจจับแบบ Hash-based ไม่สามารถทำได้. แฮกเกอร์ยังได้ตั้งคำอธิบายคลังข้อมูลที่สร้างขึ้นใหม่ด้วยข้อความท้าทายว่า "Miasma: The Spreading Blight" รวมทั้งเปลี่ยนธีมจากภาพยนตร์ Dune ไปใช้ธีมเทพปกรณัมกรีกแทน.
บัญชีพนักงานถูกแฮก ต้นตอของช่องโหว่ จากการวิเคราะห์หาสาเหตุ พบว่าบัญชี GitHub ของพนักงาน Red Hat ถูกผู้ไม่หวังดีเจาะเข้าระบบ และถูกใช้เป็นเครื่องมือในการอัปโหลดโค้ดอันตราย (Malicious orphan commits) เข้าสู่คลังเก็บข้อมูล RedHatInsights ถึงสองระลอก. แฮกเกอร์ใช้วิธีลัดเพื่อข้ามขั้นตอนการตรวจสอบโค้ด (Code Review) และสร้างกระบวนการขอโทเคน OIDC จาก GitHub เพื่อนำไปใช้เผยแพร่แพ็กเกจ npm โดยตบตาผู้ใช้ด้วยการทำให้แพ็กเกจนั้นมีใบรับรองมาตรฐาน SLSA ที่ถูกต้อง.
ใครคือผู้อยู่เบื้องหลัง? แม้ว่ารูปแบบและเทคนิคการโจมตี (TTPs) จะมีความคล้ายคลึงกับปฏิบัติการของกลุ่มแฮกเกอร์ TeamPCP แต่เนื่องจากโค้ดของมัลแวร์ Mini Shai-Hulud เคยถูกเผยแพร่เป็นสาธารณะ (Open-sourced) ไปแล้ว ผู้เชี่ยวชาญจึงยังไม่ฟันธง และสันนิษฐานว่าอาจเป็นฝีมือของแฮกเกอร์กลุ่มอื่นที่นำเครื่องมือดังกล่าวมาเลียนแบบและดัดแปลงการโจมตี.
การรับมือและแนวทางแก้ไข ณ ปัจจุบัน (ตามการอัปเดตเมื่อวันที่ 1 มิถุนายน 2026) แพ็กเกจเวอร์ชันที่แฝงมัลแวร์ส่วนใหญ่ได้ถูกระงับ (Revoked) เรียบร้อยแล้ว. อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้แนะนำให้องค์กรต่างๆ เร่งตรวจสอบเครื่องมือพัฒนาและระบบ CI/CD โดยด่วน. เนื่องจากมัลแวร์ชนิดนี้พุ่งเป้าไปที่การขโมยข้อมูลสำคัญ องค์กรจึงควรตั้งข้อสันนิษฐานว่า GitHub tokens, SSH keys และรหัสผ่านที่เกี่ยวข้องกับระบบคลาวด์อาจถูกขโมยไปแล้ว และควรทำการเปลี่ยนรหัส (Rotate) ใหม่ทั้งหมดทันที.
ความคิดเห็น
แสดงความคิดเห็น