ใครเป็นนักพัฒนาเคยเจอโจทย์สัมภาษณ์งานให้โหลดโปรเจกต์มาลองรันไหม?
Microsoft ออกมาเตือนว่า ตอนนี้มีขบวนการทำ โปรเจกต์ Next.js ปลอม ให้ดูเหมือนงานเทสต์จริง พอเราโคลนโค้ดแล้วเปิดทำตามขั้นตอนปกติ กลับกลายเป็นการเปิดประตูให้มัลแวร์เข้ามาคุมเครื่องแบบเงียบ ๆ ได้เลย
Microsoft Defender พบว่าผู้โจมตีสร้างไฟล์โปรเจกต์ที่หน้าตาเหมือนโปรเจกต์เว็บจริง (Next.js) แล้วส่งให้เหยื่อในบริบท สัมภาษณ์งาน/ทำแบบทดสอบ ไฟล์โปรเจกต์เหล่านี้ถูกพบทั้งบน Bitbucket และมีหลายไฟล์โปรเจกต์ที่โครงสร้างคล้ายกัน บ่งชี้ว่าเป็นแคมเปญแบบทีมทำ ไม่ใช่เหตุบังเอิญครั้งเดียว
จุดอันตรายคือ ขั้นตอนทำงานปกติของนักพัฒนา เช่น โคลนโค้ดแล้ว เปิดโฟลเดอร์ใน VS Code จากนั้นรัน npm run dev ซึ่งอาจไปกระตุ้นสคริปต์แฝงให้โหลดโค้ดอันตรายเพิ่ม แล้วรันในเครื่องทันที ทำให้ผู้โจมตีสั่งงานจากระยะไกลได้
เพื่อเพิ่มโอกาสให้เหยื่อติด ผู้โจมตีฝัง “กับดักหลายชั้น” ไว้ในไฟล์โปรเจกต์เดียวกัน เช่น
- เปิดโฟลเดอร์ใน VS Code แล้วมีงานอัตโนมัติเริ่มทำงานเอง (ถ้าเรากด Trust)
- รัน dev server แล้วไฟล์บางตัวถูกปรับให้ไปดึงโค้ดจากภายนอก
- ตอนเริ่มทำงานฝั่งเซิร์ฟเวอร์ มีการส่งข้อมูลสภาพแวดล้อมในเครื่องออกไปก่อน แล้วรับคำสั่งกลับมารันต่อ สุดท้ายมัลแวร์จะยกระดับจากตัวเริ่มต้น ไปเป็นตัวควบคุมหลักที่คอยรอรับคำสั่ง ตรวจโฟลเดอร์ และทยอยส่งไฟล์ออกไปได้
.jpg)
ภาพ – ภาพรวมของลำดับขั้นตอนการโจมตี
ที่มา – Bleeping Computer
ภาพ – ฟังก์ชันการตรวจสอบเซิร์ฟเวอร์แบบโพลลิงของระยะที่ 2
ที่มา – Bleeping Computer
มีแคมเปญหลอกนักพัฒนาด้วย ไฟล์โปรเจกต์ Next.js/โจทย์สัมภาษณ์งานปลอม เพื่อฝังแบ็กดอร์ เพียงแค่เปิดไฟล์โปรเจกต์ใน VS Code หรือสั่งรันโปรเจกต์ ก็อาจโดนรันโค้ดแฝงและถูกคุมเครื่องได้ ดังนั้น แนะนำเปิด VS Code Workspace Trust/Restricted Mode, ลดการเก็บคีย์ลับในเครื่อง และใช้สิทธิ์เท่าที่จำเป็น ที่สำคัญควรทดสอบไฟล์โปรเจกต์จากแหล่งไม่ชัวร์ในเครื่อง/สภาพแวดล้อมแยกเสมอ
ถ้าทีม Dev ต้องรับไฟล์โปรเจกต์จากภายนอกบ่อย (เทสต์งาน/ฟรีแลนซ์/โอเพ่นซอร์ส) แนะนำทำพื้นที่ทดลอง แยกจากเครื่องทำงานจริง เช่น รันใน VM/เซิร์ฟเวอร์แยก พร้อมจำกัดสิทธิ์และลบทิ้งได้ทันทีเมื่อจบงาน ลดโอกาสที่เครื่องหลักจะโดนฝังของแถม
โฮสอะตอมของเรามีบริการ
- Cloud VPS (ทำเครื่องทดสอบแยกโปรเจกต์/แยกสิทธิ์): https://www.hostatom.com/cloud-vps
- Dedicated Server (ทีม Dev ใหญ่ ต้องการแยกสภาพแวดล้อมชัดเจน): https://www.hostatom.com/dedicated-server/
ที่มา: Google
