สรุปสั้น

นักวิจัยด้านความปลอดภัยจาก Socket และ Aikido เปิดเผยเมื่อเดือนพฤษภาคม พ.ศ. 2569 ว่าระบบนิเวศ Laravel-Lang ซึ่งเป็นแพ็กเกจแปลภาษาที่ใช้กันแพร่หลายในโปรเจกต์ Laravel ถูกโจมตีแบบ supply chain อย่างซับซ้อน ผู้โจมตียึด GitHub repository 700 แห่งและฝัง backdoor สำหรับขโมย credential พร้อม remote code execution ลงใน 233 เวอร์ชันของแพ็กเกจ เทคนิคที่ใช้คือการปลอม Git tag ให้ชี้ไปยัง fork ที่มีโค้ดอันตราย เมื่อนักพัฒนาติดตั้งผ่าน Composer โค้ดอันตรายจะทำงานอัตโนมัติผ่าน autoloader ขโมยข้อมูลสำคัญ เช่น AWS keys, SSH keys, database credentials และ cryptocurrency wallets แล้วเข้ารหัสด้วย AES-256 ก่อนส่งออกไปยังเซิร์ฟเวอร์ผู้โจมตี

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 23 พฤษภาคม พ.ศ. 2569 ว่า นักวิจัยจาก Socket และ Aikido ค้นพบการโจมตี supply chain ที่มุ่งเป้าไปยังระบบนิเวศ Laravel-Lang ซึ่งเป็นแพ็กเกจ PHP ยอดนิยมสำหรับจัดการไฟล์แปลภาษาในเฟรมเวิร์ก Laravel

ผู้โจมตีไม่ได้ commit โค้ดอันตรายเข้า repository โดยตรง แต่ใช้เทคนิคที่แยบยลกว่าด้วยการจัดการระบบ Git tag ให้ tag ที่ถูกต้องชี้ไปยัง fork ที่มีมัลแวร์แทน เมื่อนักพัฒนาดึงแพ็กเกจผ่าน Packagist ระบบจะดาวน์โหลดโค้ดจาก fork อันตรายโดยที่ repository หลักยังคงดูปกติ

โค้ดอันตรายถูกฝังอยู่ในไฟล์ src/helpers.php ซึ่งทำงานอัตโนมัติผ่าน Composer autoload directive ทำให้มัลแวร์ทำงานทันทีเมื่อติดตั้งแพ็กเกจโดยนักพัฒนาไม่ต้องเรียกใช้งานเอง วิธีนี้ทำให้หลบเลี่ยงการตรวจสอบแบบ standard repository audit ได้

วิธีการโจมตี

มัลแวร์ทำงานแบบหลายขั้นตอน เริ่มจาก dropper ที่ปลอมตัวเป็นฟังก์ชัน localization ปกติของ Laravel จากนั้นตรวจสอบข้อมูลฮาร์ดแวร์ของเครื่องเป้าหมายและสร้างไฟล์ marker ป้องกันการทำงานซ้ำ

Dropper จะปิด SSL verification แล้วดาวน์โหลด payload ขั้นที่สองจากเซิร์ฟเวอร์ C2 (flipboxstudio[.]info) โดยใช้วิธีต่างกันตาม OS ได้แก่ exec("php ...") บน Linux/macOS และสร้างไฟล์ .vbs รันผ่าน cscript บน Windows

Payload หลักเป็น PHP credential stealer ที่มี module เฉพาะทาง 15 ตัว มุ่งเป้าขโมยข้อมูลสำคัญ ได้แก่ cloud access keys (AWS, GCP, Azure, DigitalOcean), Kubernetes profiles, Docker tokens, SSH private keys, Git credentials, shell history, รหัสผ่านในเบราว์เซอร์ และ cryptocurrency wallets จากนั้นเข้ารหัสด้วย AES-256 แล้วส่งออกไปยังเซิร์ฟเวอร์ผู้โจมตีก่อนลบตัวเองทิ้ง

ผลกระทบต่อไทย

Laravel เป็นเฟรมเวิร์ก PHP ที่ได้รับความนิยมสูงในหมู่นักพัฒนาไทย ใช้สร้างเว็บแอปพลิเคชันทั้งในภาครัฐและเอกชน แพ็กเกจ Laravel-Lang ซึ่งจัดการไฟล์แปลภาษามีโอกาสถูกใช้ในโปรเจกต์ที่รองรับภาษาไทย หากนักพัฒนาติดตั้งเวอร์ชันที่ถูกโจมตี credentials ทั้งหมดของสภาพแวดล้อมการพัฒนาและ production อาจรั่วไหล รวมถึง database credentials, API keys ของบริการคลาวด์ และ SSH keys ที่ใช้เข้าถึงเซิร์ฟเวอร์

คำแนะนำ

  1. ตรวจสอบไฟล์ composer.lock ของโปรเจกต์ Laravel ทันที หากพบแพ็กเกจ Laravel-Lang ให้ตรวจสอบเวอร์ชันกับรายการที่ได้รับผลกระทบ
  2. หากใช้เวอร์ชันที่ถูกโจมตี ให้เปลี่ยนรหัสผ่าน database, หมุน API keys ทั้งหมด (AWS, GCP, Azure) และเปลี่ยน SSH keys ทันที
  3. ตรวจสอบ outbound network traffic ว่ามีการเชื่อมต่อไปยังโดเมน flipboxstudio[.]info หรือไม่
  4. ระบบที่รันแพ็กเกจที่ถูกโจมตีควร rebuild จาก image ที่สะอาดทั้งหมด
  5. พิจารณาใช้เครื่องมือ Software Composition Analysis (SCA) ตรวจสอบ dependency ในโปรเจกต์อย่างสม่ำเสมอ

แหล่งอ้างอิง