ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์ (Online Random)
มินิเกม
นักพัฒนาระวังตัว พบไฟล์แพ็กเกจ jQuery ฝังโทรจัน แฝงตัวอยู่บน Repo ของ npm, GitHub, และ jsDelivr
Sarun_ss777
สำหรับนักพัฒนาซอฟท์แวร์และแอปพลิเคชันนั้น อาจต้องมีการดาวน์โหลดอุปกรณ์เสริมต่าง ๆ มาจากเว็บไซต์ดังเช่น GoitHub กันเป็นเรื่องปกติ นั่นทำให้แฮกเกอร์ได้ใช้ประโยชน์จากจุดนี้ด้วย
จากรายงานข่าวโดยเว็บไซต์ The Hacker News นั้น ได้มีการรายงานถึงการตรวจพบแพ็กเกจ jQuery (JavaScript Library รูปแบบหนึ่งที่ออกแบบมาเพื่อให้พัฒนาเว็บไซต์ได้ง่ายและสวยงามน่าดึงดูดมากขึ้น) แฝงโทรจันมากกว่า 68 แพ็กเกจ ถูกฝากไปในแหล่งรวมข้อมูล (Repository หรือ Repo) ชื่อดังในวงการนักพัฒนามากมายหลายแหล่ง เช่น GitHub, jsDelivr และ NPM
โดยนักวิจัยจาก Phylu.io ซึ่งเป็นบริษัทด้านความปลอดภัยไซเบอร์ ได้กล่าวว่า jQuery แฝงโทรจันเหล่านี้มี “รูปแบบการโจมตีที่ซับซ้อน มีความทานทนต่อการพยายามกำจัดจากระบบรักษาความปลอดภัย” และการใช้งาน Library เหล่านี้จะส่งผลให้เว็บไซต์นั้นเสี่ยงต่อการถูกโจมตีห่วงโซ่อุปทาน หรือ Supply Chain Attacks อีกด้วย
ซึ่งจากทางทีมวิจัยได้ตรวจพบแพ็กเกจ jQuery แฝงมัลแวร์ดังกล่าวบน Repo ของ NPM ระหว่างวันที่ 26 พฤษภาคม - 23 มิถุนายน ปีนี้ โดยตัวแพ็กเกจที่มีปัญหานั้นถูกตั้งชื่อเพื่อล่อลวงเหยื่อไว้มากมายหลายชื่อ เช่น cdnjquery, footersicons, jquertyi, jqueryxxx, logoo, และ sytlesheets โดยมีข้อสังเกตว่า ทุกแพ็กเกจน่าจะถูกรวบรวม ประกอบกันขึ้นมาเองโดยเหล่าแฮกเกอร์ที่อาจจะมาจากหลายกลุ่ม เนื่องมาจากการที่มีแพ็กเกจจำนวนมาก มีวิธีการตั้งชื่อที่มักจะไม่ได้เป็นไปในแนวทางเดียวกัน และมักจะถูกอัปโหลดขึ้นโดยบัญชีผู้ใช้งานที่ไม่ค่อยซ้ำกัน นอกจากนั้นแล้ว ระยะเวลาในการอัปโหลดแต่ละแพ็กเกจนั้นยังมีระยะห่างของเวลาที่มากพอสมควรอีกด้วย
นอกจากนั้นแล้วทาง Phylum.io ยังมีข้อสังเกตที่น่าสนใจอีกหลายอย่างเกี่ยวกับกลุ่มแพ็กเกจ jQuery แฝงโทรจันกลุ่มดังกล่าว ไม่ว่าจะเป็นการที่ “แพ็กเกจต้องสงสัยบน GitHub ส่วนมากมักมีส่วนเกี่ยวข้องกับบัญชีผู้ใช้งาน "indexsc" ไม่ทางใดก็ทางหนึ่ง” “บนแพ็กเกจเหล่านี้ แฮกเกอร์มักจะฝังมัลแวร์ไว้ในส่วนฟังก์ชัน 'end' ซึ่งช่วยให้แฮกเกอร์สามารถทำการดูดข้อมูลจากเว็บฟอร์มของเหยื่อไปยัง URL เป้าหมายที่แฮกเกอร์กำหนดไว้ได้” และ “แฮกเกอร์มักจะทำให้แหล่งที่มานั้นดูน่าเชื่อถือ หรือใช้กลเม็ดในการโหลดโค้ดให้ฝ่า Firewall ได้ง่าย ด้วยการทำงานผ่าน jsDelivr แทนที่จะโหลดโค้ดผ่านทาง GitHub โดยตรง”
ภาพจาก https://blog.phylum.io/persistent-npm-campaign-shipping-trojanized-jquery/
จากข่าวดังกล่าว จะเห็นได้นักพัฒนาเว็บไซต์อาจต้องมีการตรึกตรองให้มากขึ้นกว่าเดิม เวลาที่จะมีการนำเอา JavaScript Library ตัวใหม่ ๆ เข้ามาใช้ในการพัฒนาเว็บไซต์ เพราะ ถ้ามีการนำเอาตัวที่ต้องสงสัยเข้ามาใช้งานนั้น แทนที่เว็บไซต์จะใช้งานได้ดี กลับจะกลายเป็นถูกขโมยข้อมูล หรือถูกนำไปใช้เพื่อจุดประสงค์เชิงลบของเหล่าแฮกเกอร์แทน
ที่มา : thehackernews.com , www.javatpoint.com , blog.phylum.io
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอที ยอดนิยม
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.