Glassworm: มัลแวร์เงาอำพราง ที่ใช้บล็อกเชน Solana โจมตี GitHub

Glassworm: มัลแวร์เงาอำพราง ที่ใช้บล็อกเชน Solana โจมตี GitHub

วงการความปลอดภัยไซเบอร์กำลังเผชิญหน้ากับภัยคุกคามรูปแบบใหม่ที่ซับซ้อนอย่างน่าตกใจ นั่นคือ Glassworm มัลแวร์ที่ฉลาดแกมโกงนี้ ไม่เพียงแค่ซ่อนตัวอย่างแนบเนียน แต่ยังใช้ประโยชน์จากเทคโนโลยี บล็อกเชน ในการปฏิบัติการ ทำให้มันกลายเป็นอาวุธที่อันตรายและตรวจจับได้ยาก

หลายคนอาจคิดว่ามัลแวร์ที่มองไม่เห็นเป็นเรื่องของภาพยนตร์ แต่ Glassworm กำลังทำให้มันเป็นจริง ด้วยการหลอกตาเครื่องมือรักษาความปลอดภัยและสร้างช่องโหว่ใหญ่ใน ซัพพลายเชนของซอฟต์แวร์

เบื้องหลังมัลแวร์ Glassworm ทำงานอย่างไร

หัวใจสำคัญของ Glassworm คือการใช้ อักขระ Unicode ที่มองไม่เห็น หรือที่เรียกว่า zero-width characters ลองจินตนาการว่ามีช่องว่างเล็กๆ หรืออักขระพิเศษที่มนุษย์มองไม่เห็น แต่คอมพิวเตอร์สามารถประมวลผลได้ มัลแวร์นี้แทรกโค้ดอันตรายเข้าไปในส่วนที่มองไม่เห็นเหล่านี้

ยกตัวอย่างเช่น ในไฟล์โค้ดของโปรแกรมหรือแพ็กเกจ npm ที่ดูเหมือนปกติทุกประการ แฮกเกอร์จะแอบซ่อนโค้ดร้ายไว้ด้วย zero-width characters ทำให้โค้ดนั้นผ่านการตรวจสอบของเครื่องมือสแกนแบบดั้งเดิมไปได้อย่างง่ายดาย

เมื่อนักพัฒนาหรือระบบดาวน์โหลดและติดตั้งแพ็กเกจที่ติดเชื้อนี้ โค้ดที่ซ่อนอยู่ก็จะถูกเรียกใช้งาน ส่งผลให้เกิดการโจมตีโดยไม่รู้ตัว นี่คือภัยคุกคามในรูปแบบ supply chain attack ที่น่ากลัวที่สุด เพราะมันอาศัยความน่าเชื่อถือของแหล่งที่มาของซอฟต์แวร์

โซลานาเข้ามาเกี่ยวข้องได้อย่างไร

ความฉลาดอีกขั้นของ Glassworm คือการใช้ Solana blockchain เป็นช่องทางในการสั่งการและควบคุม (Command and Control หรือ C2) แทนที่จะใช้เซิร์ฟเวอร์แบบเดิมๆ ที่สามารถถูกติดตามและบล็อกได้ง่าย

มัลแวร์จะไปสอบถามข้อมูลจาก Solana blockchain โดยตรง เพื่อค้นหาธุรกรรมบางอย่างที่แฮกเกอร์สร้างขึ้น ซึ่งภายในธุรกรรมนั้นมีคำสั่งเข้ารหัสลับอยู่ ทำให้การตรวจจับและหยุดยั้งทำได้ยากยิ่งขึ้นไปอีก

การใช้ บล็อกเชน แบบนี้ทำให้การโจมตีมีความยืดหยุ่นสูง และทนทานต่อการปิดกั้น เพราะข้อมูลบน บล็อกเชน นั้นกระจายตัว ไม่รวมศูนย์ และไม่สามารถลบหรือแก้ไขได้ง่าย ทำให้มันเป็นช่องทางสื่อสารที่สมบูรณ์แบบสำหรับเหล่าแฮกเกอร์ผู้ร้าย

ภัยคุกคามที่มองไม่เห็น

สิ่งที่ทำให้ Glassworm เป็นภัยร้ายคือความสามารถในการ หลีกเลี่ยงการตรวจจับ เครื่องมือสแกนโค้ดส่วนใหญ่ถูกออกแบบมาเพื่อหาแพทเทิร์นของโค้ดที่เป็นอันตรายที่ “มองเห็นได้” แต่เมื่อโค้ดถูกอำพรางด้วย zero-width characters เครื่องมือเหล่านั้นก็อาจมองข้ามไป

นี่หมายความว่าโปรเจกต์โอเพนซอร์สบน GitHub หรือแพ็กเกจ npm จำนวนมาก อาจกลายเป็นเป้าหมายหรือพาหะของมัลแวร์ชนิดนี้โดยไม่รู้ตัว นักพัฒนาหรือบริษัทที่ใช้ไลบรารีเหล่านี้ก็อาจตกเป็นเหยื่อของการ จี้บัญชี GitHub หรือการขโมยข้อมูลสำคัญ

ผลกระทบที่เกิดขึ้นอาจรุนแรง ตั้งแต่การเปลี่ยนแปลงโค้ดโดยไม่ได้รับอนุญาต การขโมยข้อมูลลับ หรือแม้แต่การควบคุมระบบทั้งหมด ทำให้ความน่าเชื่อถือและความปลอดภัยของระบบพัฒนาซอฟต์แวร์สั่นคลอน

ป้องกันตัวเองจากมัลแวร์เงา

การป้องกันภัยคุกคามที่มองไม่เห็นเช่นนี้ ต้องอาศัยการทำงานที่มากกว่าปกติ

สิ่งแรกคือการ ทบทวนโค้ด (code review) ด้วยสายตาของมนุษย์อย่างละเอียดถี่ถ้วน เพราะบางครั้งการเปลี่ยนแปลงเล็กน้อยที่ดูไร้เหตุผลอาจเป็นสัญญาณของปัญหา

การลงทุนใน เครื่องมือรักษาความปลอดภัยขั้นสูง ที่สามารถตรวจจับ อักขระ Unicode ที่ผิดปกติ หรือพฤติกรรมการทำงานที่น่าสงสัยของโค้ดก็เป็นสิ่งจำเป็น ไม่ใช่แค่สแกนหา Signature มัลแวร์แบบเก่าๆ

นอกจากนี้ การเสริมสร้างความปลอดภัยของ ซัพพลายเชนซอฟต์แวร์ ทั้งหมด ตั้งแต่ต้นทางจนถึงปลายทาง การใช้ multi-factor authentication และการให้สิทธิ์การเข้าถึงแบบจำกัดก็ช่วยลดความเสี่ยงได้ มัลแวร์เช่น Glassworm เป็นเครื่องเตือนใจว่าภัยคุกคามทางไซเบอร์มีการพัฒนาอย่างต่อเนื่องเสมอ การเตรียมพร้อมและปรับตัวจึงเป็นสิ่งสำคัญที่สุดในการรับมือ.