สรุปสั้น
GitHub ซึ่งเป็นแพลตฟอร์มโฮสต์ซอร์สโค้ดที่ใหญ่ที่สุดในโลกและเป็นบริษัทในเครือ Microsoft ประกาศเมื่อวันที่ 20 พฤษภาคม 2569 ว่ากำลังสืบสวนเหตุการณ์ที่มีผู้เข้าถึง Repository ภายในโดยไม่ได้รับอนุญาต กลุ่มภัยคุกคาม TeamPCP ซึ่งเป็นผู้อยู่เบื้องหลังการโจมตีแบบ Supply Chain หลายครั้ง ได้ประกาศขายซอร์สโค้ดภายในของ GitHub ประมาณ 4,000 Repository ในราคา 50,000 ดอลลาร์สหรัฐ กลุ่ม Lapsus$ ร่วมมือกับ TeamPCP ประกาศขายแพ็กเกจรวมในราคา 95,000 ดอลลาร์ โดยระบุว่าหากไม่มีผู้ซื้อจะปล่อยข้อมูลฟรี ในเหตุการณ์ที่เกี่ยวข้อง Package durabletask ของ Microsoft บน PyPI ก็ถูกฝังมัลแวร์ Mini Shai-Hulud ซึ่งเป็นส่วนหนึ่งของแคมเปญ Supply Chain ของ TeamPCP มัลแวร์ขโมย Credentials จาก AWS, Azure, GCP, Kubernetes, Password Manager และเครื่องมือนักพัฒนากว่า 90 รายการ พร้อมแพร่กระจายตัวเองผ่าน Cloud Infrastructure
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 20 พฤษภาคม พ.ศ. 2569 ว่า GitHub ได้ออกแถลงการณ์ยืนยันว่ากำลังสืบสวนการเข้าถึง Repository ภายในโดยไม่ได้รับอนุญาต หลังจากกลุ่ม TeamPCP ประกาศขายซอร์สโค้ดและข้อมูลภายในของ GitHub บนฟอรัมอาชญากรไซเบอร์
GitHub ระบุว่ายังไม่พบหลักฐานว่าข้อมูลของลูกค้าที่จัดเก็บนอก Repository ภายในได้รับผลกระทบ แต่กำลังเฝ้าระวังโครงสร้างพื้นฐานอย่างใกล้ชิดเพื่อตรวจจับกิจกรรมที่ผิดปกติ
TeamPCP ซึ่งเป็นกลุ่มภัยคุกคามที่อยู่เบื้องหลังการโจมตีแบบ Supply Chain ต่อ Package โอเพนซอร์สหลายรายการ ได้ประกาศขายข้อมูลในราคา 50,000 ดอลลาร์ โดย Repository ที่ถูกขโมยครอบคลุม GitHub Actions, Copilot Internal Projects, CodeQL Tools, Security Tools และ Infrastructure ภายใน นอกจากนี้กลุ่ม Lapsus$ ยังร่วมมือขายแพ็กเกจรวมในราคา 95,000 ดอลลาร์
ในเหตุการณ์ที่เกี่ยวข้องโดยตรง Package durabletask ของ Microsoft บน PyPI ซึ่งเป็น Official Python Client สำหรับ Durable Task Framework ก็ถูก TeamPCP ฝังมัลแวร์เช่นกัน โดยมี 3 เวอร์ชันที่เป็นอันตราย (1.4.1, 1.4.2 และ 1.4.3) ถูกอัปโหลดภายในเวลาเพียง 35 นาที Package นี้มียอดดาวน์โหลดประมาณ 417,000 ครั้งต่อเดือน
วิธีการโจมตี
การโจมตี GitHub เริ่มจากการเจาะเครื่องของพนักงานเพื่อขโมย Credentials จากนั้น TeamPCP ใช้ Credentials ดังกล่าวเข้าถึง Repository ภายในและดึงข้อมูลออกมา ซอร์สโค้ดที่ถูกขโมยรวมถึง Rails Controller ที่ใช้จัดการ Organization และ Pull Request ทั้งหมดบนแพลตฟอร์ม
สำหรับ Package durabletask ผู้โจมตีใช้ PyPI Token ที่ขโมยมาจาก GitHub Secrets เพื่อเผยแพร่เวอร์ชันที่เป็นอันตรายโดยตรงโดยข้าม CI/CD Pipeline ทั้งหมด มัลแวร์ที่ฝังมาเป็น Payload ขนาด 28 KB ที่ออกแบบมาเพื่อขโมย Credentials จาก Cloud Provider หลัก ได้แก่ AWS, Azure และ GCP รวมถึง Password Manager อย่าง 1Password, Bitwarden และ HashiCorp Vault
สิ่งที่โดดเด่นคือมัลแวร์ Mini Shai-Hulud มีความสามารถในการแพร่กระจายตัวเองอัตโนมัติ หากเครื่องอยู่ใน AWS จะแพร่กระจายไปยัง EC2 Instance อื่นผ่าน SSM และหากอยู่ใน Kubernetes จะแพร่กระจายผ่าน kubectl exec นอกจากนี้ยังใช้กลไก FIRESCALE ค้นหา Backup C2 Address จาก GitHub Public Commit Messages
ผลกระทบต่อไทย
GitHub เป็นแพลตฟอร์มที่นักพัฒนาซอฟต์แวร์ในประเทศไทยใช้อย่างแพร่หลาย ทั้งในบริษัทเทคโนโลยี สตาร์ตอัป และหน่วยงานภาครัฐ การที่ซอร์สโค้ดภายในของ GitHub ถูกขโมยอาจส่งผลให้เกิดการค้นพบช่องโหว่ใหม่ในแพลตฟอร์มที่ผู้โจมตีสามารถนำไปใช้ได้
ความเสี่ยงที่สำคัญกว่าคือ Package durabletask ที่ถูกฝังมัลแวร์ เนื่องจากองค์กรในไทยที่ใช้ Azure Durable Functions หรือ Durable Task Framework อาจได้รับผลกระทบโดยตรง มัลแวร์ Mini Shai-Hulud สามารถขโมย Credentials ของ Cloud Provider และแพร่กระจายตัวเองผ่านโครงสร้างพื้นฐานคลาวด์ได้ ซึ่งอาจนำไปสู่การเข้าถึงข้อมูลสำคัญขององค์กร
คำแนะนำ
- ตรวจสอบว่าไม่ได้ติดตั้ง durabletask เวอร์ชัน 1.4.1, 1.4.2 หรือ 1.4.3 หากติดตั้งแล้วให้ถือว่าเครื่องถูกเจาะและดำเนินการ Rotate Credentials ทั้งหมดทันที
- ตรวจสอบ Indicator of Compromise ที่เกี่ยวข้องกับ Mini Shai-Hulud ได้แก่ GitHub workflow ที่ถูกแก้ไขและ OIDC token ที่ผิดปกติ
- หมุนเวียน secrets, npm tokens และ cloud credentials ทั้งหมดหลังพบแพ็กเกจที่ถูก compromise
