สรุปสั้น

GitHub Action ชื่อดัง actions-cool/issues-helper ถูกโจมตีแบบ supply chain attack โดยแฮ็กเกอร์เปลี่ยน tag ทุกตัวในรีโพให้ชี้ไป imposter commit ที่ฝังโค้ดอันตราย เมื่อ workflow ใด ๆ เรียกใช้ action ดังกล่าว โค้ดจะดาวน์โหลด Bun JavaScript runtime แล้วอ่านหน่วยความจำของกระบวนการ Runner.Worker เพื่อขโมย credentials จากนั้นส่งข้อมูลออกไปยังเซิร์ฟเวอร์ของผู้โจมตีผ่าน HTTPS นอกจากนี้ยังพบว่า GitHub Action อีกตัวคือ actions-cool/maintain-one-comment มี 15 tag ที่ถูกเปลี่ยนในลักษณะเดียวกัน ปัจจุบัน GitHub ได้ปิดการเข้าถึงรีโพดังกล่าวแล้ว

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 19 พฤษภาคม พ.ศ. 2569 ว่า นักวิจัยด้านความปลอดภัยจากบริษัท StepSecurity ค้นพบว่า GitHub Actions workflow ยอดนิยมอย่าง actions-cool/issues-helper ถูกโจมตีด้วยเทคนิค “imposter commit” ซึ่งเป็นกลยุทธ์การโจมตี supply chain ที่แฮ็กเกอร์ฝังโค้ดอันตรายเข้าไปในโปรเจกต์ โดยอ้างอิง commit หรือ tag ที่มีอยู่เฉพาะใน fork ที่ผู้โจมตีควบคุม ไม่ใช่ในรีโพต้นฉบับที่เชื่อถือได้

Varun Sharma นักวิจัยจาก StepSecurity อธิบายว่า tag ทุกตัวในรีโพถูกย้ายให้ชี้ไปยัง imposter commit ที่ไม่ปรากฏในประวัติ commit ปกติ ทำให้ทุก workflow ที่อ้างอิง action ตามเวอร์ชัน (เช่น @v3, @v4) จะดึงโค้ดอันตรายมาทำงานโดยอัตโนมัติ

เมื่อโค้ดอันตรายทำงานภายใน GitHub Actions runner จะดำเนินการ 3 ขั้นตอน ได้แก่ ดาวน์โหลด Bun JavaScript runtime ลงในเครื่อง runner จากนั้นอ่านหน่วยความจำจากกระบวนการ Runner.Worker เพื่อดึง credentials ออกมา แล้วส่งข้อมูลที่ขโมยได้ไปยังโดเมน t.m-kosche[.]com ผ่าน HTTPS

วิธีการโจมตี

เทคนิค imposter commit อาศัยช่องว่างของ GitHub ที่อนุญาตให้ fork อ้างอิง commit ข้าม repository ได้ แฮ็กเกอร์สร้าง fork ของ action ต้นฉบับ แล้วสร้าง commit ที่มีโค้ดอันตรายไว้ใน fork จากนั้นเปลี่ยน tag ในรีโพต้นฉบับให้ชี้ไปยัง commit นั้น ผลลัพธ์คือ workflow ที่อ้างอิง tag (เช่น @v3) จะดึงโค้ดจาก commit อันตรายแทนโค้ดจริง โดยไม่ต้องผ่านกระบวนการ Pull Request review

โดเมนที่ใช้ส่งข้อมูลออก (t.m-kosche[.]com) ยังเชื่อมโยงกับแคมเปญ Mini Shai-Hulud ที่โจมตี npm packages จากระบบนิเวศ @antv ด้วย แสดงว่าอาจเป็นกลุ่มผู้โจมตีเดียวกัน

ผลกระทบต่อไทย

องค์กรและบริษัทพัฒนาซอฟต์แวร์ในไทยที่ใช้ GitHub Actions สำหรับ CI/CD pipeline อาจได้รับผลกระทบโดยตรง โดยเฉพาะทีมที่ใช้ action ดังกล่าวในการจัดการ issues ซึ่ง credentials ที่ถูกขโมยอาจรวมถึง API keys, access tokens และ secrets อื่น ๆ ที่กำหนดไว้ใน workflow ทำให้แฮ็กเกอร์สามารถเข้าถึงระบบคลาวด์หรือรีโพอื่น ๆ ขององค์กรได้ สตาร์ทอัพและบริษัทเทคโนโลยีไทยที่พึ่งพา GitHub Actions เป็นหลักควรตรวจสอบ workflow ทันที

คำแนะนำ

  1. ตรวจสอบว่า workflow ขององค์กรมีการใช้ actions-cool/issues-helper หรือ actions-cool/maintain-one-comment หรือไม่ หากมีให้หยุดใช้ทันที
  2. เปลี่ยนการอ้างอิง GitHub Actions จาก tag (@v3, @v4) มาเป็น full commit SHA ที่ตรวจสอบแล้วว่าปลอดภัย เช่น actions/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675
  3. ตรวจสอบ CI/CD logs ว่ามีการเชื่อมต่อไปยังโดเมนที่น่าสงสัย เช่น t.m-kosche[.]com หรือไม่
  4. หมุนเวียน (rotate) secrets และ tokens ทั้งหมดที่ใช้ใน GitHub Actions workflows ที่อาจได้รับผลกระทบ
  5. ใช้เครื่องมือเช่น StepSecurity Harden-Runner เพื่อตรวจจับ outbound network calls ที่ผิดปกติจาก runner

แหล่งอ้างอิง