แฮกเกอร์เจาะโดเมน ILSpy บน Wordpress สำเร็จ
แฮกเกอร์เจาะโดเมน ILSpy บน Wordpress สำเร็จ เพื่อนำมาใช้เป็นจุดปล่อยมัลแวร์
Wordpress อาจจะเป็นเครื่องมือสำหรับการสร้างเว็บไซต์ยอดนิยมที่ถูกใช้งานโดยเหล่าผู้พัฒนาเว็บไซต์ และการตลาดจำนวนมาก แต่ก็มักจะขึ้นชื่อเรื่องการถูกแฮก และตกเป็นเป้ามัลแวร์อยู่เสมอ และในครั้งนี้อาจจะต้องทำให้หลายคนต้องพิจารณาใหม่อีกครั้ง
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการที่โดเมนอย่างเป็นทางการของ ILSpy ที่ตั้งอยู่บนระบบของ Wordpress นั้นได้ถูกแฮกเกอร์แฮกได้สำเร็จ ทำให้แฮกเกอร์สามารถใช้งานโดเมนที่ดูน่าเชื่อถือนี้มาใช้ปล่อยมัลแวร์ประเภทมัลแวร์สำหรับสอดแนม หรือ Spyware ได้ ซึ่งบนเว็บไซต์อย่างเป็นทางการนั้นตามปกติแล้วหลังจากที่ผู้ใช้งานทำการคลิกลิงก์ดาวน์โหลด ตัวลิงก์จะพาผู้ใช้งานไปยังคลังดิจิทัล (Repo หรือ Repository) บน Github แต่หลังจากที่แฮกได้สำเร็จ แฮกเกอร์ได้เปลี่ยนตัวลิงก์ให้พาเหยื่อไปที่อื่นแทน ซึ่งที่ที่พาไปนั้นแทนที่จะเป็นการดาวน์โหลดซอฟต์แวร์ของทาง ILSpy ตามที่ต้องการ กลับกลายเป็นการดาวน์โหลดมัลแวร์ลงมาแทนที่ ทำให้การโจมตีในครั้งนี้สามารถระบุได้ว่าเป็นการโจมตีห่วงโซอุปทาน หรือ Supply Chain Attack ในรูปแบบหนึ่ง และเนื่องจากการที่ ILSpy นั้นเป็นเครื่องมือสำหรับผู้พัฒนาซอฟต์แวร์ (Software Developer) ทำให้มั่นใจได้ว่าแฮกเกอร์ที่อยู่เบื้องหลังนั้นต้องการเล่นงานกลุ่มเป้าหมายดังกล่าวโดยเฉพาะ
โดยหลังจากที่เหยื่อได้ดาวน์โหลด และติดตั้งซอฟต์แวร์ปลอมลงบนเครื่องเป็นที่เรียบร้อยแล้ว ตัวมัลแวร์ก็จะทำงานในการเข้าขโมยข้อมูลต่าง ๆ เช่น แอบดักจับการพิมพ์ (Keystroke) รหัสผ่านต่าง ๆ, ขโมยไฟล์ Session Cookies สำหรับการเข้าใช้งานบริการต่าง ๆ และแอบจับตามองการจราจรของข้อมูล (Web Traffic Monitor) ซึ่งทั้งหมดนี้สามารถนำไปสู่การรั่วไหลของข้อมูลของบริษัท และโค้ดต้นฉบับ (Source Code) หรือแม้แต่รหัสการเข้าใช้โครงสร้างพื้นฐานคลาวด์ของทางบริษัทได้ อันจะนำไปสู่ความสูญเสียมูลค่ามหาศาลได้
ซึ่งการตรวจพบครั้งนี้นั้นเป็นผลงานของนักวิจัยด้านภัยไซเบอร์อิสระ ชื่อ RootSuccess โดยได้บันทึกสิ่งที่ตรวจพบในรูปแบบคลิปวิดีโอ แล้วได้รายงานให้กับทาง vx-underground ซึ่งเป็นเว็บไซต์ที่ให้ความรู้ด้านภัยไซเบอร์ และมัลแวร์ หลังจากที่ประเด็นนี้ได้กลายเป็นข��่าวทางโซเชียลมีเดียแล้ว ทาง Wordpress ก็ได้ทำการปิดเว็บไซต์ดังกล่าวลง โดยถ้าผู้เยี่ยมชมเข้าสู่เว็บไซต์ในตอนนี้ก็จะขึ้นข้อความแสดงข้อผิดพลาด (Error) เป็น 502 Bad Gateway แทน
