พบมัลแวร์ PyStoreRAT บน GitHub
พบมัลแวร์ PyStoreRAT บน GitHub อ้างเป็นเครื่องมือพัฒนาซอฟต์แวร์
เมื่อพูดถึงคลังดิจิทัล (Repository หรือ Repo) ที่เป็นแหล่งยอดนิยมสำหรับเหล่านักพัฒนาซอฟต์แวร์ ก็คงจะหนีไม่พ้น GitHub ซึ่งนอกจากจะเป็น Repo ยอดนิยมแล้วยังเป็นแหล่งชุมชน หรือ คอมมูนิตี้ (Community) ของเหล่านักพัฒนาอีกด้วย แต่ที่นี่ก็เป็นแหล่งชุมนุมแฮกเกอร์กับมัลแวร์จำนวนมากเช่นเดียวกัน
จากรายงานโดยเว็บไซต์ Siliconangle ได้กล่าวถึงการที่ทาง Morphisec บริษัทผู้เชี่ยวชาญด้านการพัฒนาโซลูชันรักษาความปลอดภัยของเครื่องมือปลายทาง (Endpoints) ทำการตรวจพบมัลแวร์ประเภทเข้าควบคุมเครื่องของเหยื่อจากระยะไกล หรือ RAT (Remote Access Trojan) ตัวใหม่ ที่มีชื่อว่า “PyStoreRAT” ที่ได้ปลอมตัวแอบอ้างเป็นเครื่องมือสำหรับผู้พัฒนาซอฟต์แวร์ผ่านทาง Repo บน GitHub โดยมีเป้าเพื่อเข้าควบคุม และขโมยข้อมูลลับบนเครื่องของเหยื่อ ซึ่งการหลอกลวงก็เป็นเป็นอย่างแนบเนียน เพราะบน Repo นั้นมีการบรรจุไฟล์ที่ดูน่าเชื่อถืออยู่มากมาย เช่น README ที่มีการเขียนอย่างละเอียดดูดี ภาพกราฟฟิคที่ถูกสร้างขึ้นด้วย AI (Artificial Intelligence หรือ ปัญญาประดิษฐ์) ที่สวยงาม และตัวจำลองการทำงานของฟังก์ชัน เพื่อล่อลวงให้เหยื่อทำการรันโค้ดของมัลแวร์นกต่อ (Loader)
หลังจากที่โค้ดดังกล่าวถูกรันขึ้นมาก็จะเป็นการดาวน์โหลด และรันไฟล์แอปพลิเคชันแบบ HTML ผ่านทาง mshta.exe เพื่อเป็นการลัดเลาะไม่ให้ถูกระบบตรวจจับบนเครื่องสามารถถูกจับได้เมื่อเทียบกับวิธีการแบบดั้งเดิมที่เป็นการรันติดตั้งบนฮาร์ดดิสก์ ซึ่งหลังจากที่รันได้สำเร็จ ตัวมัลแวร์ก็จะเริ่มทำการเก็บข้อมูลต่าง ๆ ของระบบ เช่น ชื่อเครื่อง, ระบบปฏิบัติการที่ใช้งานอยู่, แอปพลิเคชันรักษาความปลอดภัยที่ถูกติดตั้งอยู่ และระดับสิทธิ์ในการเข้าถึงระบบของผู้ใช้งานในปัจจุบัน ก่อนที่จะทำการลงทะเบียนข้อมูลดังกล่าวกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control)
ทางทีมวิจัยยังพบอีกว่า มัลแวร์ดังกล่าวยังมีความสามารถในการหลบเลี่ยงการถูกตรวจพบอย่างมากมาย ไม่ว่าจะเป็น การใช้การยืนยันตัวตนแบบจับมือ หรือ Handshake เป็นราย Session ด้วยก��ารใช้ Token เฉพาะตัวจนตรวจจับได้ยาก ไม่เพียงเท่านั้นตัวมัลแวร์ยังมีความสามารถในการหลบ “ตรรกะ” (Logic) การตรวจจับของเครื่องมือรักษาความปลอดภัยไซเบอร์ในระดับองค์กรชื่อดังอย่าง CrowdStrike Falcon และเครื่องมือชื่อดังอื่น ๆ ด้วยการเปลี่ยน Path สำหรับการรัน หรือ Execution Path ทันทีเมื่อสงสัยว่ากำลังถูกจับตามองอยู่จากเครื่องมือในกลุ่มดังกล่าว
ตัวมัลแวร์ยังมีความสามารถในการคงทนอยู่ภายในระบบของเหยื่อ (Persistence) ด้วยการสร้างตารางการทำงาน (Task Scheduling) ภายใต้ชื่อ “NVIDIA App SelfUpdate” เพื่อหลอกลวงว่าเป็น Task สำหรับการอัปเดตซอฟต์แวร์เกี่ยวกับงานกราฟฟิค ซึ่งตัว Task นี้จะทำงานทุก 10 นาที หรือ ทุกครั้งที่ผู้ใช้งานทำการล็อกอินเข้ามาในระบบ เพื่อรับประกันว่ามัลแวร์จะรันอยู่บนระบบตลอดเวลาแม้จะมีการรีบูทเครื่องใหม่ก็ตาม
นอกจากนั้นตัวมัลแวร์ยังมีกา��รในระบบโมดูล (Module) เปิดโอกาสให้การดาวน์โหลดฟีเจอร์ และความสามารถใหม่ ๆ มาจากเซิร์ฟเวอร์ และความสามารถในการรันด้วยการใช้รูปแบบไฟล์ที่หลากหลาย ไม่ว่าจะเป็นไฟล์แบบ DLL, ไฟล์ติดตั้งแบบ MSI, ไฟล์สคริปท์แบบ PowerShell, ไฟล์ในรูปแบบ Python Archive และไฟล์แบบ HTA (HTML Application) แบบที่กล่าวไปในข้างต้น
ที่ร้ายที่สุดคือ มัลแวร์สามารถทำการขยายการแพร่กระจายในแนวกว้าง (Lateral Movement) ด้วยการฝังตัวเองลงในไดร์ฟ USB ด้วยการเข้าไปแทนที่ไฟล์เดิมภายในไดร์ฟให้เป็นไฟล์ Shortcut ของมัลแวร์ ที่จะทำการรันตัวเองก่อนที่จะรันไฟล์ที่ผู้ใช้งานต้องการเปิดจริง ๆ ทำให้มัลแวร์สามารถแพร่กระจายภายในองค์กรได้อย่างรวดเร็วว่องไว
จากประสบการณ์ส่วนตัวที่เกี่ยวข้องกับการใช้ GitHub ในการดาวน์โหลดเครื่องมือและซอฟต์แวร์ต่าง ๆ สำหรับพัฒนาระบบเอง ต้องขอเตือนว่าผู้ใช้ควรเพิ่มความระมัดระวังมากขึ้น เนื่องจากมัลแวร์ PyStoreRAT ได้แสดงให้เห็นถึงวิธีการปลอมแปลงที่ซับซ้อน รวมถึงการสร้าง README และภาพกราฟิกที่สวยงามด้วย AI เพื่อหลอกลวงให้เหยื่อรันโค้ดติดตั้งมัลแวร์โดยไม่ระวัง ผมเคยเจอเหตุการณ์ที่เครื่องติดไวรัสจากไฟล์ใน GitHub โดยที่ผู้พัฒนาไม่ได้ตั้งใจให้เป็นมัลแวร์ แต่กลายเป็นช่องทางที่แฮกเกอร์ใช้แฝงตัว ส่งผลให้ระบบต้องรีสตาร์ทบ่อย และข้อมูลบางส่วนถูกขโมยไปโดยไม่รู้ตัว หลังจากติดเชื้อ PyStoreRAT ตัวนี้ ผมได้เรียนรู้ว่า การตรวจสอบและใช้งานโปรเจ็กต์ซอฟต์แวร์เปิดใน GitHub ควรทำอย่างละเอียด เช่น การตรวจสอบการอัพเดทไฟล์ต่าง ๆ อย่างสม่ำเสมอ และหลีกเลี่ยงการรันไฟล์จากแหล่งที่ไม่น่าเชื่อถือ อีกสิ่งที่น่ากังวลคือความสามารถของ PyStoreRAT ในการแทรกตัวลงใน Task Scheduling เพื่อให้มั่นใจว่ามัลแวร์นี้จะยังคงทำงานแม้เครื่องจะรีบูทใหม่ และยังสามารถแพร่กระจายผ่าน USB โดยที่ผู้ใช้งานแทบไม่รู้ตัว ซึ่งเหตุการณ์นี้ทำให้ผมต้องเพิ่มมาตรการรักษาความปลอดภัย เช่น ใช้ซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพ, ระมัดระวังการเชื่อมต่อ USB จากภายนอก และหลีกเลี่ยงการใช้ไดร์ฟที่ไม่ปลอดภัย สำหรับคนที่เป็นนักพัฒนาหรือนักวิจัยด้านไอที แนะนำให้ติดตามข่าวสารช่องโหว่และมัลแวร์ใหม่ ๆ อย่างสม่ำเสมอ รวมถึงการตั้งค่าและใช้ระบบตรวจจับมัลแวร์ในระดับองค์กรอย่างเข้มงวด เพราะ PyStoreRAT นี้สามารถหลบหลีกระบบตรวจจับได้อย่างแนบเนียน โดยเปลี่ยน Execution Path และใช้รหัสยืนยันตัวตนแบบ Handshake ทำให้การวิเคราะห์มีความซับซ้อน สุดท้ายนี้ ผมเห็นว่ากลุ่มผู้ใช้งานทั่วไปก็ควรตระหนักถึงภัยคุกคามในสภาพแวดล้อมดิจิทัล โดยเฉพาะเมื่อใช้งานแพลตฟอร์มเปิดอย่าง GitHub ที่มีทั้งประโยชน์สูงสุดและความเสี่ยงที่ซ่อนอยู่ในขณะเดียวกัน การติดตั้งเฉพาะซอฟต์แวร์จากแหล่งที่เชื่อถือได้และมีการตรวจสอบอย่างรัดกุมเท่านั้น จะช่วยลดความเสี่ยงจากมัลแวร์ทุกประเภทได้มากขึ้น
