Supply Chain Attack! เมื่อแฮ็กเกอร์ทำลายองค์กรผ่านซอฟต์แวร์ที่คุณไว้ใจ

Supply Chain Attack

ช่วงที่ผ่านมานั้นผมเริ่มจะได้ยินเรื่องการโจมตี Supply Chain Attack ถูกพูดถึงถี่ขึ้นในช่วงที่ผ่านมาเพราะรูปแบบการโจมตีลักษณะนี้กำลังกลายเป็นความเสี่ยงจุดใหญ่ที่สุดขององค์กรทั่วโลก ด้วยความที่ปัจจุบันแทบทุกระบบซอฟต์แวร์ไม่ได้ถูกพัฒนาแบบ In-house เพียงอย่างเดียวอีกต่อไป แต่มักจะพึ่งพา ซอฟต์แวร์ ไลบรารี และบริการจากซัพพลายเออร์หรือ Outsource อยู่เสมอ ซึ่งจุดนี้เองที่เปิดช่องให้ Hacker แทรกซึมเข้ามาได้โดยที่หลายท่านอาจไม่ทันระวัง ฉะนั้นวันนี้ผมจะมาคุยเรื่องนี้กันนะครับว่า Supply Chain Attack เป็นอย่างไรและก็มีการโจมตีที่เป็นข่าวใหญ่ในช่วงที่ผ่านมาสรุปให้รับชมรับฟังกันด้วยครับ

สวัสดีครับ ทุกท่าน บทความนี้ก็ขอเริ่มด้วยว่าในบทความนี้จะมีหัวข้อหลักๆอะไรบ้างตามนี้เลยครับ

· Supply Chain Attack คืออะไร

· สรุปการโจมตีที่เกิดขึ้นเร็วๆนี้

· เกิดขึ้นได้อย่างไร

· ป้องกันและแก้ไข

Supply Chain Attack คืออะไร

Supply Chain Attack นั้นคือการโจมตีที่ไม่ได้โจมตีเป้าหมายโดยตรงแต่จะเลือกโจมตีจุดอื่นๆที่เป้าหมายนั้นมีการใช้งานอยู่ หรือก็คือเหล่า Third-party ต่างๆที่เป้าหมายนั้นมีการใช้งานอยู่นั้นเอง ซึ่ง Third-party นั้นก็จะแบ่งได้หลากหลายอย่าง เช่น Vendor, Software, Open-Source Library หรือบริการอื่นๆอีกมากมาย ซึ่งเป็นสิ่งที่หลายๆคนหรือองค์กรใช้งานอยู่หรือ จำเป็นต้องใช้งาน

รูปจาก : https://underdefense.com/blog/supply-chain-cyber-attack-risk-mitigation-for-software-tech-firms-and-insurance-domain/

ถ้าจะให้ยกตัวอย่างก็เช่น ผมเป็นคนทำซอฟต์แวร์ ERP ชื่อ Datafoam-ERP V.0.1 ที่มีลูกค้าองค์กร Victim-mock ใช้งานระบบ ERP นี้อยู่ และผมโดน Hacker ยึดเครื่องผมที่เป็นคนทำซอฟต์แวร์ Datafoam-ERP ถัดมา Hacker ได้ทำการฝังโค้ดอันตราย (Malware) ในการอัปเดตซอฟต์แวร์เวอร์ชันถัดไปของ Datafoam-ERP V.1.0 ไปให้ผู้ใช้งานองค์กร Victim-mock อัปเดตเพื่อใช้งานซึ่งเป็นเป้าหมายองค์กรที่ Hacker ต้องการจะเข้าไปทำการต่างๆที่ไม่ดีเช่น ขโมยข้อมูล, ยืดเครื่อง เป็นต้น

จะเห็นได้ว่า การโจมตี Supply Chain Attack ไม่ได้เป็นการโจมตีเป้าหมายโดยตรงแต่จะเป็นการโจมตีเป้าหมายแบบอ้อมที่ต้องมีการโจมตีจุดอื่นที่เกี่ยวข้องก่อน ซึ่งอาจจะมีการโจมตีที่ง่ายกว่าตัวองค์กรที่มีการป้องกันที่แข็งแกร่งนั้นเอง และสามารถที่จะโจมตีแค่จุดนึงที่มีการใช้งานเยอะๆ ก็จะสามารถกระจายไปสู่เหยื่อจำนวนมหาศาลพร้อมกันได้ในทีเดียวนั้นเอง

สรุปการโจมตีที่เกิดขึ้นเร็วๆนี้

ช่วงที่ผ่านมา มีการโจมตี Supply Chain Attack ขนาดใหญ่ที่ถูกพูดถึงอย่างกว้างขวาง โดยเฉพาะใน npm Packages เนื่องจากเป็น Library ที่มี Developer ใช้งานจำนวนมากทั่วโลก ทำให้โค้ดอันตรายสามารถแพร่กระจายไปยังโปรเจกต์และองค์กรหลายๆแห่งพร้อมกันได้ซึ่งมีการแทรกโค้ดอันตราย (Malware) เข้าไปในซอฟต์แวร์เวอร์ชันใหม่เพื่อให้ Developer อัปเดตและนำไปใช้ต่อเพื่อแพร่กระจายต่อไปนั้นเอง

npm Packages Supply Chain Attack เกิดขึ้นเมื่อ 8 กันยายน 2025 ตาม Timeline ในข่าวที่ได้แนบรูปไว้ด้านล่าง ซึ่งก็ต้องตรวจสอบอีกทีในแต่ละ Packages กันด้วยนะครับว่ามีการแก้ไขแล้วรึเปล่า

ที่มา : https://www.sisainfosec.com/blogs/browser-based-crypto-stealer-in-npm-supply-chain-attack-report-by-sisa-sappers/

เพราะก็มี Packages อื่นๆ (DuckDB npm Packages) ในช่วงเวลาต่อมาก็มีการปล่อยซอฟต์แวร์เวอร์ชันใหม่ที่มีการแทรกโค้ดอันตราย (Malware) ในการที่จะเปลี่ยน Address Wallet ของผู้รับเงินจากการโอนเงินของเหยื่อไปที Address Wallet ของ Hacker แทนโดยจะมีทั้ง Ethereum, Bitcoin, Litecoin เป็นต้น อ่านเพิ่มเติมได้ที่ https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised

และขอแนบ IOCs (Indicators of Compromise) จากข่าวไว้ให้นะครับและเข้าไปอ่านเพิ่มเติมได้ครับ
https://socket.dev/blog/npm-author-qix-compromised-in-major-supply-chain-attack

[email protected]

https://socket.dev/blog/duckdb-npm-account-compromised-in-continuing-supply-chain-attack

[email protected]

@duckdb/[email protected]

[email protected]

@coveops/[email protected]

NX Build System Package Supply Chain Attack เกิดขึ้นเมื่อ 26 สิงหาคม 2025 ตาม Timeline ในข่าวที่ได้แนบรูปไว้ด้านล่าง

ที่มา : https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware?#timeline-of-events-utc

ในการโจมตีนี้จะเป็นการขโมยข้อมูลสำคัญเช่น SSH keys, npm tokens เป็นต้นซึ่งมีการนำ AI CLI มาช่วยหาไฟล์ที่ Hacker ต้องการเพื่อที่จะนำข้อมูลไปปล่อยลงใน GitHub repository ของเหยื่อโดยจะใช้ชื่อ s1ngularity-repository-[random-string] ที่เนื้อหาด้านในจะเป็นข้อมูลที่ขโมยมาจากเหยื่อและทำการ Base64 ไว้

รูปจาก : https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware

เกิดขึ้นได้อย่างไร

เหตุการณ์ที่กล่าวมานั้นเกิดจากการที่ Hacker สามารถที่จะแทรกคำสั่งอันตรายต่างๆเข้าไปใน Open-Source Library ที่มีการใช้งานอย่างแพร่หลายซึ่งเกิดจากทั้งการโดน Phishing Attack เพื่อที่จะได้ข้อมูลที่สามารถเข้าถึงการอัปเดตเวอร์ชัน Packages ที่มีการแฝงแทรกคำสั่งอันตราย หรือจากการที่มีการขอ Merge Code ที่มีการแทรกคำสั่งอันตรายที่ตรวจจับได้ยากเพื่อให้หลุดรอดการตรวจสอบของเหล่าผู้พัฒนา Open-Source ที่คอยตรวจสอบโค้ดก่อนที่จะมีการไปใช้ในซอฟต์แวร์เวอร์ชันใหม่ จากเหตุเหล่าเมื่อมีการนำแพ็กเกจเหล่านี้ไปใช้งานต่อ ผลกระทบก็จะกระจายออกไปในวงกว้างโดยที่ผู้ใช้งานอาจไม่รู้ตัวจนเกิดความเสียหาย

ป้องกันและแก้ไข

โดยวิธีแก้ไขนั้นของเหตุการณ์ตามข่าวก็ตามได้ที่ลิงก์ที่ให้ไปเลยครับสามารถเข้าไปดูได้และตรวจสอบเครื่องที่ใช้งานกันอยู่ได้เลยครับ ส่วนการป้องกันนั้นก็มีหลายอย่างผมขอยกตัวอย่างมาสักสองข้อละกันนะครับ (ยังไม่เม้นเรื่องนี้555)

Third-Party Risk Assessment: ค่อยทดสอบซอฟต์แวร์ก่อนติดตั้งว่ามีความปลอดภัยหรือผ่านการตรวจสอบมาอย่างดีแล้ว, ค่อยตรวจสอบ Open-Source Library ที่ใช้งานอยู่อย่างต่อเนื่อง, คอยตรวจสอบโค้ดไม่ให้มีการแอบแฝงโค้ดที่อันตรายเข้ามา

Incident Detection and Response & Business Continuity Planning: การตรวจพบและการตอบสนองกับเหตุการณ์ให้ได้รวดเร็วที่สุดก็เป็นหนึ่งในการป้องกันและก็ต้องมีแผนรับมือกับเหตุการณที่เกิดขึ้นด้วย

การทำ DevSecOps ที่ดีก็สามารถช่วยให้เหตุการณ์เหล่านี้จบลงได้อย่ารวดเร็วและปลอดภัยได้ด้วยนะครับ

จบไปแล้วครับบทความนี้การโจมตี Supply Chain Attack ที่มักทำให้เกิดการรั่วไหลของข้อมูลจำนวนมากหลุดไปสู่มือคนอื่นเพราะฉะนั้นขอแนะนำ Personar ของบริษัทไว้ด้วยนะครับ โดย Personar เป็นเครื่องมือ Threat Intelligence Platform (TIP) ซึ่งเป็น Leak Monitoring จาก DataFarm ที่ช่วยเฝ้าระวัง ตรวจจับ และแจ้งเตือนเมื่อพบข้อมูลรั่วไหลจากแหล่งต่างๆ ทั้งเว็บมืด ฟอรัมใต้ดิน และช่องทางอื่น ๆ ได้ครับ สุดท้ายสามารถติดตามข่าวสารต่างๆเพิ่มเติมได้ที่เพจ Personar Thailand ได้นะครับ