Home > Medias & Articles > Discord ตกเป็นเป้าโจมตีหลังตรวจพบการพยายามใช้แพ็กเกจ NPM
Back
December 10, 2021

Discord ตกเป็นเป้าโจมตีหลังตรวจพบการพยายามใช้แพ็กเกจ NPM

Wannakorn Bangpisuttikul

เมื่อสัปดาห์ที่ผ่านมา มีรายงานการตรวจพบแพ็กเกจที่แฝง Malware อย่างน้อยกว่า 17 แพ็กเกจ เผยแพร่อยู่บน NPM Registry ซึ่งเป็นฐานข้อมูลของแพ็กเกจภาษา JavaScript ที่นักพัฒนา (Developer) ใช้ทำงานร่วมกับ NPM โดยบนฐานข้อมูลนั้น ผู้ใช้งานสามารถสร้าง เผยแพร่ ตั้งค่า หรือดาวน์โหลดแพ็กเกจได้

NPM หรือ แพ็กเกจ NPM นั้น ย่อมาจาก Node Package Manager เป็นโปรแกรมจัดการแพ็กเกจของภาษา JavaScript โดยภายในแพ็กเกจมีตัวติดตั้งของ Node.js มาพร้อม ซึ่งช่วยอำนวยความสะดวกให้แก่นักพัฒนาในการเขียนโปรแกรมบน Node.js

การตรวจพบนี้ เชื่อมโยงกับการโจมตีครั้งก่อนหน้าที่เกิดขึ้นกับ Discord โปรแกรมสื่อสารและสนทนาชื่อดัง โดยเช่นเดียวกัน การโจมตีในครั้งนั้นก็เป็นการโจมตีโดยใช้แพ็กเกจที่แฝง Malware ซึ่งออกแบบมาให้เข้าโจมตีเหยื่อด้วยการแฝงตัวไปอยู่บน Repositories หรือระบบจัดเก็บและรับฝาก Source code ของซอฟต์แวร์แบบ Open-source

โดยในการโจมตีครั้งดังกล่าว บริษัท JFrog บริษัทผู้พัฒนาซอฟต์แวร์ ได้ออกมาให้เปิดเผยว่า แพ็กเกจบนไลบรารีนั้นออกแบบมาเพื่อพยายามเข้าถึง Tokens ของโปรแกรม Discord และค่าพารามิเตอร์ “Environment variables” ของผู้ใช้งาน โดยมีจุดประสงค์เพื่อเข้าควบคุมระบบ ซึ่งในแพ็กเกจ NPM ดังกล่าว มีแพ็กเกจจำนวนหนึ่งที่มีความอันตราย โดยมันถูกออกแบบมาเพื่อขโมยข้อมูล หรือเจาะเข้าหลังบ้านของระบบ

นอกจากนี้แต่ละแพ็กเกจยังใช้วิธีการโจมตีที่แตกต่างกัน อาทิ การโจมตีแบบ Typosquatting ที่อาศัยช่องโหว่จากการพิมพ์ผิด หรือ Dependency Confusion ที่อาศัยช่องโหว่ของการดาวน์โหลดและติดตั้งแพ็กเกจ หรือ Trojan Functionality หรือใช้การโจมตีแบบไวรัส Trojan เป็นต้น

ซึ่งในงานวิจัยที่ได้เผยแพร่ออกมาก่อนหน้านี้ ได้เปิดเผยว่าแอปพลิเคชันด้านการสื่อสารอย่าง Discord และ Slack นั้นเป็นเครื่องมือชั้นดีของอาชญากรทางไซเบอร์ เนื่องจากเซิร์ฟเวอร์ของ Discord เอื้อต่อการเข้าโจมตีแบบควบคุมทางไกล (Remote Access) และยังสามารถถูกใช้เพื่อล้วงข้อมูลของเหยื่อได้อีกด้วย นอกจากนี้เครือข่าย CDN (Content Delivery Network) ของ Discord ยังสามารถเป็นแหล่งแพร่กระจายไฟล์ที่ติด Malware ได้เป็นอย่างดี เนื่องจากใช้การสื่อสารระหว่างเซิร์ฟเวอร์แบบ Command-and-Control (C&C)

ในกรณีแต่แย่ที่สุด เมื่ออาชญากรสามารถเข้าถึง Tokens ของโปรแกรม Discord ได้ เขาก็จะสามารถเปลี่ยนโปรแกรม Discord ให้กลายเป็นช่องทางขโมยข้อมูล และแพร่กระจาย Malware ไปให้บรรดาผู้ใช้งาน หรือแม้กระทั่งสามารถขโมยข้อมูลบัญชี Discord Nitro ซึ่งเป็นบัญชีที่จ่ายเงินเพื่อซื้อบริการ Premium แบบรายเดือนออกมาขายได้

ในบรรดารายชื่อของแพ็กเกจอันตรายที่ถูกเปิดเผยออกมา แพ็กเกจที่อันตรายที่สุดมีชื่อว่า “prerequests-xcode” ซึ่งเป็นแพ็กเกจที่เมื่อถูกติดตั้งแล้วจะทำให้แฮกเกอร์สามารถเข้าควบคุมระบบทางไกลแบบโทรจัน โดยเมื่อควบคุมได้จะสามารถถ่ายภาพหน้าจอ, เก็บข้อมูล Clipboard, ขโมยรหัสผ่าน, และดาวน์โหลดไฟล์ที่ติด Malware ลงในเครื่องได้ เรียกได้ว่าจะสามารถเข้าควบคุมระบบได้เลย

ซึ่งเหตุการณ์นี้แสดงให้เห็นว่ามีการโจมตีทางไซเบอร์รูปแบบใหม่เกิดขึ้นโดยการแอบใช้แพ็กเกจเหล่านี้ติดตั้งลงบนไลบรารีแบบสาธารณะเป็นช่องทางในการเข้าโจมตี ซึ่งเป็นวิธีที่โปรแกรม Antivirus หรือ Firewall ไม่สามารถตรวจพบได้ จึงเป็นสิ่งที่นักพัฒนาทั่วโลกควรเฝ้าระวังเป็นอย่างมาก

ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2117 9668
www.cloudsecasia.com


#cybersecurity
#cybersecurityisamust
#cloudsecasia

References:
Lakshmanan, R., 2021. Over a Dozen Malicious NPM Packages Caught Hijacking Discord Servers [online] The Hacker News. Available at: <https://thehackernews.com/…/over-dozen-malicious-npm…> [Accessed 10 December 2021].