อาชญากรไซเบอร์กำลังใช้ช่องโหว่ในวิธีการทำงานของ GitHub เพื่อหลอกลวงนักพัฒนาให้ดาวน์โหลดมัลแวร์ที่ปลอมเป็นโปรแกรมติดตั้ง GitHub Desktop อย่างเป็นทางการ การโจมตีนี้เกิดขึ้นระหว่างเดือนกันยายนถึงตุลาคม 2025 โดยมุ่งเป้าไปที่ผู้ใช้ในยุโรปและเขตเศรษฐกิจยุโรปเป็นหลัก ก่อนจะแพร่กระจายไปยังญี่ปุ่นและภูมิภาคอื่นๆ การโจมตีใช้เทคนิค ‘repo squatting’ และกลยุทธ์การหลบเลี่ยงการตรวจจับที่ซับซ้อน รวมถึงเทคนิคต่อต้านการวิเคราะห์มัลแวร์โดยใช้ GPU (GPUGate) เพื่อส่งมอบมัลแวร์ประเภท .NET multi-stage loader ที่สามารถหลบเลี่ยงเครื่องมือรักษาความปลอดภัยทั่วไปได้
Severity: วิกฤต
System Impact:
- แพลตฟอร์ม GitHub (โดยเฉพาะ repository ของ GitHub Desktop)
- ระบบปฏิบัติการ Windows (เป้าหมายหลักของโปรแกรมติดตั้ง)
- นักพัฒนาซอฟต์แวร์และผู้ใช้ทั่วไปที่พึ่งพา GitHub Desktop
- แอปพลิเคชันที่คล้ายกันอื่นๆ ที่อาจถูกปลอมแปลง เช่น Chrome, Notion, 1Password, Bitwarden
Technical Attack Steps:
- ผู้โจมตีสร้างบัญชี GitHub ปลอมและทำการ fork repository อย่างเป็นทางการของ GitHub Desktop.
- แก้ไขลิงก์ดาวน์โหลดในไฟล์ README ของ repository ที่ fork มา ให้ชี้ไปยังโปรแกรมติดตั้งมัลแวร์ของตนแทน.
- โปรโมทไฟล์ที่ติดมัลแวร์ผ่านโฆษณาที่มุ่งเป้าไปที่การค้นหา “GitHub Desktop” เพื่อหลอกล่อให้นักพัฒนาคลิก.
- ใช้เทคนิค “repo squatting” ที่ทำให้ commit จาก repository ที่ถูก fork ยังคงมองเห็นได้ภายใต้ชื่อ namespace ของ repository ทางการ แม้ว่าบัญชีหรือ fork ต้นฉบับจะถูกลบไปแล้ว.
- เหยื่อดาวน์โหลดโปรแกรมติดตั้ง Windows ที่เป็นอันตราย (เช่น GitHubDesktopSetup-x64.exe).
- โปรแกรมติดตั้งปลอมดูเหมือนแอปพลิเคชัน C++ ทั่วไป แต่จริง ๆ แล้วเป็นแอปพลิเคชัน .NET แบบไฟล์เดียวที่รวมอยู่ใน AppHost.
- Payload ของมัลแวร์ซ่อนอยู่ในส่วน overlay ของไฟล์ ซึ่งทำให้เครื่องมือสแกนทั่วไปตรวจไม่พบ.
- มัลแวร์ใช้ API ของ GPU ที่ชื่อ OpenCL เพื่อป้องกันการวิเคราะห์ในสภาพแวดล้อม Sandbox มาตรฐาน (เทคนิค “GPUGate”).
- มัลแวร์ใช้กลวิธีในการบิดเบือนโค้ดเพื่อสร้างความสับสนให้นักวิเคราะห์ที่พยายามกู้คืนคีย์ถอดรหัสแบบสถิต.
Recommendations:
Short Term:
- ตรวจสอบแหล่งที่มาของการดาวน์โหลดซอฟต์แวร์อย่างละเอียดทุกครั้ง โดยเฉพาะอย่างยิ่งควรดาวน์โหลดจากเว็บไซต์ทางการโดยตรงเท่านั้น.
- ระมัดระวังผลการค้นหาที่มีโฆษณา โดยเฉพาะเมื่อค้นหาเครื่องมือพัฒนาซอฟต์แวร์.
- ตรวจสอบแฮชไฟล์ (hash) ของโปรแกรมติดตั้งกับแฮชที่ประกาศบนเว็บไซต์ทางการ เพื่อยืนยันความถูกต้อง.
- อัปเดตซอฟต์แวร์รักษาความปลอดภัย (เช่น Antivirus/EDR) ให้ทันสมัยอยู่เสมอเพื่อเพิ่มประสิทธิภาพในการตรวจจับมัลแวร์และกลยุทธ์การหลบเลี่ยง.
Long Term:
- ให้ความรู้แก่นักพัฒนาและผู้ใช้เกี่ยวกับความเสี่ยงของการโจมตี supply chain และเทคนิค repo squatting.
- พิจารณาการใช้ระบบ whitelisting แอปพลิเคชันที่เข้มงวด เพื่ออนุญาตเฉพาะซอฟต์แวร์ที่เชื่อถือได้เท่านั้นให้ทำงานบนระบบ.
- ลงทุนในสภาพแวดล้อมการวิเคราะห์มัลแวร์แบบ Sandbox ที่มีประสิทธิภาพสูง รวมถึงการสนับสนุน GPU เพื่อตรวจจับกลยุทธ์การหลบเลี่ยงขั้นสูง.
- ใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชี GitHub และบริการสำคัญอื่นๆ เพื่อเพิ่มความปลอดภัย.
- ตรวจสอบและวิเคราะห์บันทึกกิจกรรม (logs) อย่างสม่ำเสมอ เพื่อตรวจจับพฤติกรรมที่ผิดปกติหรือบ่งชี้ถึงการโจมตี.
Source: https://cybersecuritynews.com/attackers-hijacking-official-github-desktop-repository/
Share this content: