แพ็กเกจ NuGet อันตรายที่เสี่ยงทำระบบคอมพิวเตอร์อุตสาหกรรมเป็นระเบิดเวลา

พฤศจิกายน 11, 2025
 |  ไม่มีความเห็น
2a75b3fb-6827-8198-9adb-cd8643665b34.png

ทีมวิจัยด้านความปลอดภัยจากบริษัท Socket เพิ่งเปิดเผยการค้นพบแพ็กเกจอันตรายจำนวน 9 รายการบนแพลตฟอร์ม NuGet ซึ่งเป็นระบบจัดการแพ็กเกจสำหรับนักพัฒนา .NET ที่มีผู้ใช้งานหลายพันคนทั่วโลก แพ็กเกจเหล่านี้ถูกฝังโค้ดอันตรายแบบ "Logic Bomb" หรือระเบิดเวลาที่ตั้งเวลาไว้ให้ทำงานในอีก 2-3 ปีข้างหน้า โดยมีเป้าหมายโจมตีระบบฐานข้อมูลและระบบควบคุมอุตสาหกรรม (Industrial Control Systems) โดยเฉพาะอย่างยิ่งอุปกรณ์ควบคุม PLC ของ Siemens S7 ที่ใช้กันอย่างแพร่หลายในโรงงานและโครงสร้างพื้นฐานสำคัญ

แพ็กเกจที่เป็นอันตรายทั้งหมดถูกเผยแพร่โดยบัญชีผู้ใช้ชื่อ "shanhai666" ในช่วงปี 2023-2024 และมีผู้ดาวน์โหลดไปแล้วรวมทั้งสิ้น 9,488 ครั้ง รายงานจาก Socket ระบุว่าแพ็กเกจเหล่านี้ได้รับการออกแบบอย่างชาญฉลาด โดยมีฟังก์ชันการทำงานจริงประมาณ 99% ปนอยู่กับโค้ดอันตรายเพียง 1% ทำให้ยากต่อการตรวจจับด้วยวิธีการทั่วไป โค้ดอันตรายถูกตั้งเวลาให้เริ่มทำงานในเดือนสิงหาคม 2027 และพฤศจิกายน 2028 หลังจากที่ผู้ใช้งานติดตั้งและใช้งานแพ็กเกจไปแล้วเป็นเวลานาน

กลไกการโจมตีของแพ็กเกจเหล่านี้มีความซับซ้อนและอันตรายหลายระดับ แพ็กเกจที่กำหนดเป้าไปที่ระบบฐานข้อมูล (SQL Server, PostgreSQL, SQLite) จะทำงานแบบสุ่มด้วยความน่าจะเป็น 20% ในแต่ละครั้งที่มีการเรียกใช้ฐานข้อมูล เมื่อถึงวันที่ที่กำหนดไว้ โค้ดจะสั่งหยุดการทำงานของโปรแกรมทันที ทำให้ระบบล่มกลางคัน ซึ่งพฤติกรรมแบบสุ่มนี้ออกแบบมาให้ดูเหมือนเป็นความผิดพลาดของฮาร์ดแวร์หรือซอฟต์แวร์ธรรมดา ยากต่อการวินิจฉัยว่าเกิดจากการโจมตีที่ตั้งใจ

แพ็กเกจที่อันตรายที่สุดคือ Sharp7Extend ซึ่งเล็งเป้าไปที่อุปกรณ์ควบคุม PLC ในโรงงานอุตสาหกรรม โดยมีกลไกการโจมตี 2 แบบพร้อมกัน ได้แก่ การสั่งหยุดโปรเซสแบบสุ่มทันทีหลังติดตั้ง และการทำให้คำสั่งเขียนข้อมูลล้มเหลวอย่างเงียบ ๆ โดยเริ่มทำงานหลังจากติดตั้งไป 30-90 นาที ซึ่งส่งผลกระทบต่อระบบที่ต้องการความปลอดภัยสูง เช่น สายการผลิตในโรงงาน ระบบไฟฟ้า หรือโครงสร้างพื้นฐานสำคัญอื่น ๆ การโจมตีแบบนี้อาจทำให้เกิดความเสียหายต่อทรัพย์สินและอาจเป็นอันตรายต่อชีวิตผู้ปฏิบัติงานได้

หลังจาก Socket รายงานแพ็กเกจอันตรายเหล่านี้ไปยัง NuGet เมื่อวันที่ 5 พฤศจิกายน 2025 ทาง NuGet ได้ยืนยันว่ากำลังดำเนินการสอบสวนและลบแพ็กเกจที่เป็นอันตรายออกจากระบบ นักวิจัยแนะนำให้องค์กรต่าง ๆ โดยเฉพาะที่ใช้งาน .NET และระบบควบคุมอุตสาหกรรม ควรตรวจสอบรายการแพ็กเกจที่ติดตั้งอยู่ในระบบอย่างละเอียด และลบแพ็กเกจที่มาจากบัญชี shanhai666 ออกทันที เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นในอนาคต เหตุการณ์นี้เป็นเครื่องเตือนใจให้นักพัฒนาและองค์กรต่าง ๆ ตระหนักถึงความเสี่ยงจากการโจมตีผ่าน Supply Chain และความสำคัญของการตรวจสอบแพ็กเกจโอเพนซอร์สก่อนนำมาใช้งาน

ป้ายกำกับ:, , , , , , , , ,