แฮกเกอร์แอบแทรกมัลแวร์ไว้ในแพกเกจติดตั้งMistral AI
แฮกเกอร์แอบแทรกมัลแวร์ไว้ในแพกเกจติดตั้ง Mistral AI แล้วหลอกให้เหยื่อดาวน์โหลด
จากรายงานโดยเว็บไซต์ Emerge ได้กล่าวถึงการตรวจพบแคมเปญที่แฮกเกอร์ทำการสอดไส้มัลแวร์ลงบนเครื่องมือ AI ที่เป็นที่นิยมในกลุ่มนักพัฒนาซอฟต์แวร์อย่าง Mistral AI ซึ่งเครื่องมือตัวนี้นั้นมีให้ดาวน์โหลดบนแพลตฟอร์ม PyPI ซึ่งเป็นแหล่งแจกจ่ายซอฟต์แวร์ในการทำงานกับภาษา Python ที่เหล่านักพัฒนานิยมใช้บริการ ซึ่งจากการตรวจสอบโดยทีมวิจัย Microsoft Threat Intelligence จากบริษัทไมโครซอฟท์ นั้นพบว่า ตัวโค้ดมัลแวร์ที่ซุกซ่อนอยู่ในแพ็คเกจของเครื่องมือ AI นั้นจะทำการรันอย่างอัตโนมัติเมื่อตรวจพบว่าถูกใช้งานบนระบบปฏิบัติการ Linux ซึ่งสคริปท์จะดาวน์โหลดไฟล์มัลแวร์ (Payload) ตัวที่ 2 ที่มีชื่อว่า transformers.pyz ที่ทีมวิจัยระบุว่าเป็นการตั้งชื่อให้คล้ายคลึงกับไลบรารี (Library) ของ Hugging Face Transformers เพื่อทำการตีเนียนไปในสภาพแวดล้อม (Environment) ของการพัฒนาซอฟต์แวร์ และ ด้านการเรียนรู้โดยเครื่องจักร (ML หรือ Machine Learning)
ทางทีมวิจัยระบุว่ามัลแวร์ดังกล่าวนั้นเป็นมัลแวร์ประเภทขโมยข้อมูลจากเหยื่อ หรือ Infostealer ตัวหนึ่ง ที่มีหน้าที่หลักในการขโมยรหัสผ่าน และ Token ในการเข้าใช้งานระบบของเหล่านักพัฒนาซอฟต์แวร์ นอกจากนั้นยังพบว่า ตัวมัลแวร์นั้นหลีกเลี่ยงในการทำงานบนเครื่องที่มีการใช้งานภาษารัสเซีย และในบางกรณีถ้ามีการตรวจพบว่ามัลแวร์นั้นทำงานอยู่ภายในพื้นที่ของประเทศอิสราเอล หรือ อิหร่าน ตัวมัลแวร์จะทำการสุ่มลบไฟล์บนระบบอีกด้วย ดังนั้น ทางทีมวิจัยจึงแนะนำให้ทำการแยกระบบที่ติดมัลแวร์ออกจากเครือข่ายของบริษัท (Isolated) ในทันที รวมทั้งบล็อกที่อยู่ (Address) ที่เกี่ยวข้องกับตัวมัลแวร์ รวมทั้งเปลี่ยนรหัสผ่านทั้งหมด เพื่อความปลอดภัยของข้อมูลภายในและจำกัดความเสียหายที่อาจเกิดขึ้น
โดยในการโจมตีดังกล่าวนั้นทาง Mistral ได้�ออกมากล่าวยอมรับว่า เป็นการถูกโจมตีในส่วนของห่วงโซ่อุปทาน (Supply Chain Attack) ซึ่งเป็นผลต่อเนื่องจากการที่คู่ค้าที่เกี่ยวข้องอย่าง TanStack ถูกโจมตีบนแคมเปญการโจมตีห่วงโซ่อุปทานที่มีชื่อว่า “Shai-Hulud” นำมาสู่การสอดไส้สคริปท์มัลแวร์ลงบนแพ็คเกจที่แจกจ่ายผ่านทาง NPM และ PyPI โดยในเวลานี้ ทางทีมพัฒนากำลังทำการติดต่อกับทางเหล่าผู้พัฒนาที่ได้รับผลกระทบอยู่ ในขณะเดียวกันก็ยืนยันว่า โครงสร้างพื้นฐาน (Infrastructure) ที่เกี่ยวข้องกับการทำงานของ Mistral AI นั้นไม่ได้ถูกโจมตีแต่อย่างใด
#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #mistral #freedomhack
จากประสบการณ์การทำงานในวงการไอทีและการพัฒนาโปรแกรม พบว่าแคมเปญโจมตีผ่านซอฟต์แวร์โอเพนซอร์สและแพ็กเกจบนแพลตฟอร์มนิยม เช่น PyPI หรือ NPM เริ่มพบมากขึ้นเรื่อย ๆ โดยเฉพาะในกลุ่มเครื่องมือ AI และ Machine Learning ที่กำลังมาแรง กรณี Mistral AI ที่มีมัลแวร์แอบแฝงในแพ็กเกจและทำงานอัตโนมัติบนระบบ Linux ถือเป็นตัวอย่างที่ชี้ให้เห็นความเสี่ยงของการพึ่งพาโค้ดที่ได้มาจากแหล่งภายนอกโดยตรง ไฟล์มัลแวร์ตัวที่สองที่ชื่อ transformers.pyz ถูกตั้งชื่อให้เหมือนกับไลบรารีชื่อดังในวงการ ทำให้ยากสำหรับผู้พัฒนาที่เร่งทำงานภายใต้เวลาอันจำกัดที่จะสังเกตเห็นความผิดปกติ ที่น่าสนใจคือมัลแวร์นี้มีความสามารถตรวจจับสภาพแวดล้อมของระบบปฏิบัติการและหลีกเลี่ยงการทำงานบนเครื่องที่ใช้ภาษารัสเซีย รวมถึงมีพฤติกรรมทำลายไฟล์ในประเทศอิสราเอลและอิหร่าน ซึ่งสะท้อนถึงเป้าหมายที่มีความซับซ้อนและเจาะจงมากกว่าการโจมตีทั่วไป ในฐานะผู้ใช้งานหรือนักพัฒนา หากต้องดาวน์โหลดเครื่องมือหรือไลบรารีใด ๆ ก็ควรตรวจสอบความน่าเชื่อถือของแหล่งที่มาให้แน่ชัด รวมถึงใช้ซอฟต์แวร์ตรวจจับมัลแวร์ที่เหมาะสมบ่อย ๆ การแยกระบบที่ติดมัลแวร์ออกจากเครือข่ายทันทีและการเปลี่ยนรหัสผ่านทั้งหมดเป็นมาตรการพื้นฐานแต่สำคัญในการลดความเสียหาย สุดท้ายนี้ เหตุการณ์นี้ยังตอกย้ำถึงความสำคัญของการรักษาความปลอดภัยห่วงโซ่อุปทานซอฟต์แวร์ที่เป็นส่วนประกอบขนาดเล็กแต่มีผลกระทบเชิงลึกต่อทุกองค์กรและนักพัฒนาในวงกว้าง
