การรั่วไหลของ S1ngularity: GitHub และ NPM ได้รับผลกระทบ 🚨
การสืบสวนล่าสุดเกี่ยวกับการโจมตีซัพพลายเชนที่เรียกว่า "s1ngularity" ต่อ Nx เผยให้เห็นการรั่วไหลของข้อมูลประจำตัวครั้งใหญ่: โทเค็นบัญชีและความลับของที่เก็บข้อมูลนับพันถูกเปิดเผย ซึ่งส่งผลกระทบในหลายระยะของเหตุการณ์ รายงานหลังเหตุการณ์จาก Wiz ได้บันทึกขอบเขตและให้ข้อมูลเชิงลึกเกี่ยวกับวิวัฒนาการและผลกระทบของการขโมยข้อมูล 🚨📊
ตามการประเมินที่เผยแพร่โดยนักวิจัย Wiz การละเมิดดังกล่าวส่งผลให้บัญชี 2,180 บัญชีและที่เก็บข้อมูล 7,200 รายการถูกเปิดเผยในสามระยะที่แตกต่างกัน โดยที่ความลับจำนวนมากยังคงถูกต้องและ ความเสี่ยงที่จะเกิดความเสียหายต่อเนื่องเอกสารไวท์เปเปอร์ให้รายละเอียดเกี่ยวกับไทม์ไลน์ เทคนิคของผู้โจมตี และลักษณะของความลับที่รั่วไหล 🔍📈
การโจมตีห่วงโซ่อุปทาน Nx ⚠️🚀
Nx เป็นระบบสร้างและจัดการแบบโอเพนซอร์สที่ใช้พื้นที่เก็บข้อมูลเดียว ซึ่งใช้งานกันอย่างแพร่หลายในระบบนิเวศ JavaScript/TypeScript ระดับองค์กร ด้วยยอดดาวน์โหลดหลายล้านครั้งต่อสัปดาห์บน NPM Registry แพ็คเกจที่ถูกบุกรุกจึงส่งผลกระทบอย่างกว้างขวางต่อการผสานรวมและขั้นตอนการพัฒนาจำนวนมาก ⚙️
เวกเตอร์ประนีประนอมและวันที่เกิดเหตุ 📅
เมื่อวันที่ 26 สิงหาคม 2025 ผู้โจมตีได้ใช้ประโยชน์จากเวิร์กโฟลว์ GitHub Actions ที่มีช่องโหว่ในคลังข้อมูล Nx เพื่อเผยแพร่แพ็กเกจเวอร์ชันที่เป็นอันตรายไปยัง NPM แพ็กเกจดังกล่าวมีสคริปต์หลังการติดตั้งที่เป็นอันตรายชื่อ "telemetry.js" ซึ่งทำหน้าที่เป็นมัลแวร์ตัวดึงข้อมูลประจำตัวในระบบที่ได้รับผลกระทบ 🔥
มัลแวร์ Telemetry.js ทำงานอย่างไร 🕵️♂️
มัลแวร์ telemetry.js ทำหน้าที่เป็นตัวขโมยข้อมูลประจำตัวบน Linux และ macOS โดยพยายามขโมยโทเค็น GitHub, โทเค็น npm, คีย์ SSH, ไฟล์ .env, กระเป๋าเงินคริปโตเคอร์เรนซี และความลับอื่นๆ จากนั้นอัปโหลดข้อมูลเหล่านี้ไปยังคลังข้อมูลสาธารณะของ GitHub ที่ชื่อว่า "s1ngularity-repository" รูปแบบนี้ทำให้ผู้โจมตีสามารถรวมศูนย์และเปิดเผยข้อมูลที่ถูกขโมยได้ 🔐

ที่มา: Wiz
ผู้โจมตียังได้ผสานรวมเครื่องมือบรรทัดคำสั่งสำหรับแพลตฟอร์ม AI (เช่น Claude, Q และ Gemini) เพื่อทำให้การค้นหาและเก็บเกี่ยวข้อมูลเป็นแบบอัตโนมัติโดยใช้คำสั่งแบบเจาะจงเป้าหมาย Wiz ได้บันทึกวิวัฒนาการของคำสั่งระหว่างการโจมตี โดยเพิ่มประสิทธิภาพการสกัดข้อมูลและหลีกเลี่ยงการปฏิเสธแบบจำลองสำหรับคำสั่งบางคำสั่ง ซึ่งสะท้อนให้เห็นถึงการปรับตัวของผู้โจมตีกับเทคนิค LLM อย่างแข็งขัน ✨💡
ระยะการกระทบ: รัศมีความเสียหายและเฟส 📈🔥
เหตุการณ์นี้เกิดขึ้นเป็นสามระยะ ระยะแรกระหว่างวันที่ 26-27 สิงหาคม เวอร์ชัน Nx ที่ถูกบุกรุกส่งผลกระทบโดยตรงต่อผู้ใช้ 1,700 ราย และรั่วไหลข้อมูลลับเฉพาะมากกว่า 2,000 รายการ นอกจากนี้ยังเปิดเผยไฟล์ประมาณ 20,000 ไฟล์จากระบบที่ติดไวรัส GitHub เข้ามาแทรกแซง แต่ข้อมูลส่วนใหญ่ถูกคัดลอกไปแล้ว
- 🔹 ระยะที่ 1 (26–27 สิงหาคม): ผู้ใช้ 1,700 รายได้รับผลกระทบ มีข้อมูลลับรั่วไหลประมาณ 2,000 รายการ และไฟล์ถูกบุกรุก 20,000 ไฟล์
- 🔸 ระยะที่ 2 (28–29 สิงหาคม): การใช้โทเค็นที่รั่วไหลเพื่อแปลงที่เก็บข้อมูลส่วนตัวเป็นสาธารณะ บัญชีเพิ่มอีก 480 บัญชีถูกบุกรุกและที่เก็บข้อมูล 6,700 แห่งถูกเปิดเผย
- 🔹 ระยะที่ 3 (ตั้งแต่วันที่ 31 สิงหาคม): การโจมตีโดยกำหนดเป้าหมายองค์กรที่เป็นเหยื่อโดยใช้ บัญชีที่ถูกบุกรุกเพื่อเผยแพร่ ที่เก็บข้อมูลส่วนตัวเพิ่มขึ้นอีก 500 แห่ง
ในระยะที่สอง ผู้โจมตีได้ใช้โทเค็น GitHub ที่ขโมยมาเพื่อเปิดเผยคลังข้อมูลส่วนตัวสาธารณะ และเปลี่ยนชื่อเป็นสตริง 's1ngularity' เพื่อเพิ่มโอกาสการถูกโจมตี ในระยะที่สาม มีการใช้เป้าหมายเฉพาะเพื่อเผยแพร่คลังข้อมูลส่วนตัวเพิ่มเติมอีกหลายร้อยแห่ง ซึ่งแสดงให้เห็นถึงความต่อเนื่องและการขยายขอบเขตการโจมตีของผู้โจมตี 🎯

ที่มา: Wiz
การตอบสนองและการบรรเทาผลกระทบโครงการ Nx 🔧✅
ทีม Nx ได้เผยแพร่การวิเคราะห์สาเหตุหลักบน GitHub โดยอธิบายว่าการแทรกในชื่อของคำขอแบบ Pull Request ร่วมกับการใช้ Pull_request_target ที่ไม่ปลอดภัย ทำให้สามารถรันโค้ดตามอำเภอใจด้วยสิทธิ์ที่สูงกว่า ทำให้เกิดกระบวนการเผยแพร่และอำนวยความสะดวกในการแยกโทเค็นการเผยแพร่ npm 🛠️
การดำเนินการที่นำมาใช้ประกอบด้วยการลบแพ็กเกจที่เป็นอันตราย การเพิกถอนและหมุนเวียนโทเค็นที่ถูกบุกรุก และการกำหนดการยืนยันตัวตนแบบสองปัจจัยสำหรับบัญชีผู้เผยแพร่ทั้งหมด นอกจากนี้ Nx ยังนำโมเดล Trusted Publisher ของ NPM มาใช้ และเพิ่มการอนุมัติด้วยตนเองสำหรับเวิร์กโฟลว์ที่ทริกเกอร์โดย PR 🔐📌
เคล็ดลับด่วนและประเด็นสำคัญ ✏️
- ✅ ตรวจสอบและหมุนเวียนโทเค็นและความลับทันทีหากสงสัยว่ามีการบุกรุก
- 📌 หลีกเลี่ยงการใช้ pull_request_target ที่ไม่ปลอดภัยและบังคับใช้การอนุมัติด้วยตนเองในโฟลว์ที่ละเอียดอ่อน
- 🔧 นำการตรวจสอบปัจจัยหลายประการและรูปแบบการเผยแพร่ที่เชื่อถือได้ เช่น ผู้เผยแพร่ที่เชื่อถือได้ มาใช้
- ⚡ ตรวจสอบที่เก็บข้อมูลสาธารณะและดำเนินการค้นหาความลับอัตโนมัติเพื่อการตรวจจับในระยะเริ่มต้น
การกำหนด Snippets และคำถามที่พบบ่อย ✨
telemetry.js คืออะไร?
telemetry.js คือชื่อของสคริปต์หลังการติดตั้งที่เป็นอันตรายซึ่งรวมอยู่ในแพ็คเกจ Nx เวอร์ชันที่ถูกบุกรุก โดยทำหน้าที่เป็นตัวขโมยข้อมูลประจำตัวบนระบบ Linux และ macOS เพื่อเก็บเกี่ยวและขโมยความลับไปยังที่เก็บข้อมูลสาธารณะที่ควบคุมโดยผู้โจมตี 🔍
มีบัญชีและที่เก็บข้อมูลกี่แห่งที่ได้รับผลกระทบ?
ตามรายงานของ Wiz การโจมตีได้เปิดเผยบัญชี 2,180 บัญชีและที่เก็บข้อมูล 7,200 รายการตลอดทั้งสามระยะของเหตุการณ์ที่ได้รับการบันทึกไว้ โดยที่ความลับหลายอย่างยังคงใช้งานได้และมีความเสี่ยงที่จะได้รับผลกระทบอย่างต่อเนื่อง 📊
สภาพแวดล้อม TP3T จำนวน 461 แห่งมีรหัสผ่านที่ถูกขโมย ซึ่งเพิ่มขึ้นเกือบสองเท่าจาก 251 แห่งของ TP3T ในปีก่อนหน้า รับรายงาน Picus Blue Report 2025 เพื่อการวิเคราะห์ที่ครอบคลุมเกี่ยวกับการป้องกัน การตรวจจับ และแนวโน้มการขโมยข้อมูล 📈
รายงานนี้ให้ข้อมูลการวัด คำแนะนำ และกรณีศึกษาเพื่อเสริมสร้างการป้องกันและปรับปรุงการตอบสนองต่อการรั่วไหลของข้อมูล