ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
Axios ถูกจับตาอย่างหนักหลังมี ‘สัญญาณโจมตีซัพพลายเชน’ บนระบบนิเวศจาวาสคริปต์ ซึ่งส่งผลสะเทือนต่อความปลอดภัยของสภาพแวดล้อมการพัฒนา Web3 ทั้งหมด ไลบรารีดาวรุ่งที่มียอดดาวน์โหลดนับหลายร้อยล้านครั้ง อาจถูกเปลี่ยนเป็น ‘ช่องทางกระจายมัลแวร์’ โดยที่นักพัฒนาไม่รู้ตัว
เมื่อวันที่ 30 (เวลาท้องถิ่น) เฟอรอส อาบูคาดิเยห์(Feross Aboukhadijeh) ผู้ร่วมก่อตั้งบริษัทด้านความปลอดภัย ซ็อกเก็ต ซีเคียวริตี(Socket Security) เปิดเผยว่า พบการโจมตีแบบ ‘ซัพพลายเชนขณะรันจริง’ ภายใน Axios ซึ่งเป็นหนึ่งในแพ็กเกจยอดนิยมบน npm โดย npm(Node Package Manager) เป็นคลังซอฟต์แวร์โอเพนซอร์สจาวาสคริปต์ที่ใหญ่ที่สุดในโลก มีแพ็กเกจมากกว่า 2 ล้านรายการ และถือเป็นโครงสร้างพื้นฐานสำคัญของการพัฒนา Web3
จุดผิดปกติอยู่ที่เวอร์ชันล่าสุด [email protected] ซึ่งถูกพบว่าเรียกใช้แพ็กเกจที่น่าสงสัยชื่อ ‘[email protected]’ โดยอัตโนมัติ แพ็กเกจนี้เพิ่งถูกสร้างขึ้นในวันเดียวกัน ทำให้เกิดข้อสงสัยอย่างมากว่าไม่ได้มาจากกระบวนการเผยแพร่ตามปกติ แต่เป็นไปได้ว่าเกิดจาก ‘การบุกรุกห่วงโซ่อุปทานซอฟต์แวร์’
อาบูคาดิเยห์ระบุว่าเหตุการณ์นี้เข้าข่าย ‘มัลแวร์ติดตั้งผ่านซัพพลายเชนแบบคลาสสิก’ เนื่องจาก Axios มียอดดาวน์โหลดมากกว่า 100 ล้านครั้งต่อสัปดาห์ ทุกสภาพแวดล้อมที่อัปเดตไปยังเวอร์ชันล่าสุดล้วนเสี่ยงถูกโจมตีโดยไม่รู้ตัว
จากผลวิเคราะห์ด้วย AI ของซ็อกเก็ต แพ็กเกจที่น่าสงสัยดังกล่าวมีลักษณะเป็นโค้ดแบบ ‘ดรอปเปอร์(dropper)’ ที่ถูกทำให้ยากต่อการอ่าน ซึ่งทำหน้าที่เป็นตัวจุดชนวนสำหรับดาวน์โหลดและรันมัลแวร์ตัวอื่นต่อไป เมื่อทำงานแล้ว มัลแวร์จะลบหรือเปลี่ยนชื่อไฟล์เพื่อลดร่องรอยการสืบสวน นอกจากนี้ยังคัดลอกเพย์โหลดไปยังโฟลเดอร์ชั่วคราวของระบบปฏิบัติการ รวมถึงเส้นทาง Windows ProgramData พร้อมทั้งรันคำสั่งเชลล์ที่ถูกถอดรหัสแล้ว เพื่อเปิดทางให้การโจมตีขั้นต่อไปดำเนินต่อได้อย่างลับๆ
ผู้เชี่ยวชาญด้านความปลอดภัยจึงแนะนำให้นักพัฒนาที่ใช้งาน Axios อยู่ ‘ลงมือแก้ไขทันที’ ขั้นตอนที่ควรทำ ได้แก่ หยุดอัปเดตไปยังเวอร์ชันล่าสุดชั่วคราว กำหนดเวอร์ชันแพ็กเกจที่ใช้อยู่ให้คงที่ (pin version) และทำการตรวจสอบไฟล์ lockfile เช่น package-lock.json หรือ yarn.lock เพื่อค้นหาการเปลี่ยนแปลงที่น่าสงสัย
‘ความคิดเห็น’
เหตุการณ์ครั้งนี้ตอกย้ำอีกครั้งว่า ‘ความปลอดภัยซัพพลายเชน’ เป็นจุดเปราะบางสำคัญของอุตสาหกรรมซอฟต์แวร์ โดยเฉพาะชุมชน Web3 ที่พึ่งพาโอเพนซอร์สอย่างสูง การที่แพ็กเกจยอดนิยมเพียงตัวเดียวถูกเจาะ อาจลุกลามสร้างความเสียหายไปทั่วทั้งระบบนิเวศได้ การยกระดับมาตรการตรวจสอบแพ็กเกจ การล็อกเวอร์ชัน และการใช้เครื่องมือวิเคราะห์ความเสี่ยงอัตโนมัติ จึงกลายเป็น ‘มาตรฐานใหม่’ ที่หลีกเลี่ยงไม่ได้สำหรับทีมพัฒนายุคปัจจุบัน
ความคิดเห็น 0