12 พฤษภาคมมีรายงานพร้อมกันถึงการโจมตีห่วงโซ่อุปทานครั้งใหญ่ 2 เหตุการณ์ต่อระบบนิเวศเครื่องมือพัฒนา AI: (1) Microsoft Threat Intelligence เปิดเผยว่าแพ็กเกจของ PyPI ของ Mistral AI ถูกแทรกโค้ดร้ายแรง; (2) โปรเจกต์โมเดลบน Hugging Face ที่ปลอมเป็น OpenAI ขึ้นสู่อันดับ 1 ของเทรนด์ และภายใน 18 ชั่วโมงมีผู้ดาวน์โหลด 244,000 ครั้ง พร้อมขโมยข้อมูลบัญชีจำนวนมาก ตามรายงานของ Decrypt ทั้งสองเหตุการณ์สะท้อนความเปราะบางของระบบนิเวศการพัฒนา AI ต่อการแทรกซึมผ่านห่วงโซ่อุปทาน
Table of Contents
Toggle
กรณีแพ็กเกจของ Mistral AI: การโจมตีแบบสองขั้นที่ปลอมชื่อคล้าย Hugging Face Transformers
กรณีปลอม OpenAI บน Hugging Face: infostealer ที่เขียนด้วย Rust แบบ 6 ขั้น
ความหมายต่ออุตสาหกรรม: ห่วงโซ่อุปทานของ AI กลายเป็นพื้นที่โจมตีใหม่
กรณีแพ็กเกจของ Mistral AI: การโจมตีแบบสองขั้นที่ปลอมชื่อคล้าย Hugging Face Transformers
แพ็กเกจ PyPI ของ Mistral AI (ตัวจัดการแพ็กเกจสำหรับ Python) ถูกฝังโค้ดร้ายแรง ซึ่ง Microsoft Threat Intelligence เปิดเผยเมื่อวันที่ 12 พฤษภาคมผ่าน X:
ขอบเขตที่ได้รับผลกระทบ: แพ็กเกจ mistralai PyPI เวอร์ชัน v2.4.6
วิธีการกระตุ้น: เมื่อผู้ใช้ในระบบ Linux นำเข้าแพ็กเกจ ระบบจะรันอัตโนมัติ
เพย์โหลดขั้นที่ 2: ดาวน์โหลด transformers.pyz จากเซิร์ฟเวอร์ระยะไกล และรันในเบื้องหลัง
กับดักด้านการตั้งชื่อ: transformers.pyz ถูกตั้งใจให้เลียนแบบชื่อไลบรารี Transformers ยอดนิยมของ Hugging Face
ทำงานจริง: ขโมยข้อมูลการเข้าสู่ระบบของนักพัฒนา รวมถึง access token; และในบางระบบจะลบไฟล์แบบสุ่มที่อยู่ในช่วง IP ของอิสราเอลหรืออิหร่าน
Mistral ยืนยันเมื่อวันที่ 13 พฤษภาคมว่าเป็นการโจมตีห่วงโซ่อุปทานดังกล่าว แต่ย้ำว่า “โครงสร้างพื้นฐานของ Mistral ไม่ถูกบุกรุก และการโจมตีเริ่มต้นจากอุปกรณ์ของนักพัฒนาที่ได้รับผลกระทบ” การโจมตีถูกจัดอยู่ในกลุ่มมัลแวร์สาย Shai-Hulud (เริ่มเคลื่อนไหวตั้งแต่ 2025 กันยายน และมุ่งโจมตีห่วงโซ่อุปทานของแพ็กเกจโอเพนซอร์สของ npm และ PyPI)
กรณีปลอม OpenAI บน Hugging Face: infostealer ที่เขียนด้วย Rust แบบ 6 ขั้น
ในช่วงเวลาเดียวกัน แพลตฟอร์มโมเดล AI อย่าง Hugging Face พบโปรเจกต์โมเดลปลอมชื่อ “Open-OSS/privacy-filter” ที่จงใจเลียนแบบโมเดล Privacy Filter ที่ OpenAI เผยแพร่ในเดือนเมษายน:
จำนวนการดาวน์โหลดสะสม: ภายใน 18 ชั่วโมง 244,000 ครั้ง
จำนวนไลก์สะสม: 667 ครั้ง (โดย 657 ครั้งต้องสงสัยว่าเป็นบัญชีบอท)
อันดับยอดนิยม: เคยพุ่งขึ้นสู่อันดับ 1 ในชาร์ตเทรนด์ของ Hugging Face
คำสั่งที่ใช้กระตุ้น: แนะนำให้ผู้ใช้เรียกใช้ _start.bat (Windows) หรือ loader.py (Linux/Mac)
พฤติกรรมจริง: infostealer เขียนด้วย Rust แบบ 6 ขั้น ที่ขโมยข้อมูลต่อไปนี้:
—รหัสผ่านและคุกกี้ของเบราว์เซอร์ Chrome/Firefox
—Discord token
—คำช่วยจำ (seed phrase) ของกระเป๋าเงินสกุลเข้ารหัส
—ข้อมูลรับรอง SSH และ FTP
—ภาพหน้าจอของทุกหน้าจอ
โปรเจกต์โมเดลนี้ถูกเปิดโปงโดยบริษัทด้านความปลอดภัยทาง AI อย่าง HiddenLayer และ Hugging Face ได้ทำการนำออกแล้ว ในช่วงเวลาเดียวกัน HiddenLayer ยังตรวจพบโปรเจกต์โมเดลมุ่งร้ายที่คล้ายกันอีก 7 โปรเจกต์ โดยบางส่วนเลียนแบบโมเดล AI ยอดนิยมอื่น ๆ เช่น Qwen3 และ DeepSeek
ความหมายต่ออุตสาหกรรม: ห่วงโซ่อุปทานของ AI กลายเป็นพื้นที่โจมตีใหม่
ลิงก์ข่าว: เหตุการณ์ห่วงโซ่อุปทานที่เกี่ยวข้องกับ AI จำนวน 3 เหตุการณ์ที่เปิดโปงในสัปดาห์นี้พร้อมกัน ได้แก่ Mistral PyPI, HuggingFace ปลอมเป็น OpenAI และเคสช่องโหว่ zero-day สำหรับการผลิต AI ที่ Google เปิดเผยเมื่อ 5/11 ชี้ว่า “ระบบนิเวศการพัฒนา AI” ได้กลายเป็นเป้าหมายอันดับต้น ๆ ของเหล่าฝั่งโจมตี
รูปแบบร่วมของทั้ง 3 คดี:
ผู้โจมตีปลอมตัวเป็นผู้ให้บริการเครื่องมือ AI ที่ถูกต้องตามกฎหมาย (แพ็กเกจ PyPI, โมเดลบน HuggingFace, และโปรแกรมสำหรับใช้ประโยชน์จากช่องโหว่ในการผลิต AI)
เป้าหมายคือกลุ่ม “ผู้พัฒนา Web3 และ AI” ซึ่งมี token สิทธิสูง กระเป๋าเงินเข้ารหัส และบัญชีบนคลาวด์
เส้นทางฟอกเงิน/ขโมยรวดเร็ว—กรณี Hugging Face ภายใน 18 ชั่วโมง 244,000 ครั้ง แสดงว่าขอบเขตผลกระทบขยายตัวอย่างรวดเร็ว
กลไกการตรวจสอบของแพลตฟอร์มขนาดใหญ่ (PyPI, HuggingFace) ไม่เพียงพอต่อการระบุโปรเจกต์ปลอมได้ทันเวลา
สำหรับนักพัฒนาและผู้เกี่ยวข้องด้านการเข้ารหัสคริปโตและ Web3 เหตุการณ์เหล่านี้ตอกย้ำถึง “ภัยคุกคามแบบวิศวกรรมสังคม + แฝงตัว 6 เดือน” ที่ถูกกล่าวถึงในรายงาน “2025 เกาหลีเหนือแฮกเกอร์ขโมยเงิน 2.06 พันล้านดอลลาร์” ซึ่ง CertiK เผยแพร่ในสัปดาห์เดียวกัน—ในปี 2026 ผู้โจมตีไม่จำเป็นต้องแฮกตลาด/แลกเปลี่ยนโดยตรงอีกต่อไป แค่ปนเปื้อนแพ็กเกจโอเพนซอร์สที่นักพัฒนานำไปใช้ ก็สามารถได้กุญแจและเงินทุนที่เกี่ยวข้องทางอ้อม
แนวทางป้องกันเชิงปฏิบัติสำหรับนักพัฒนาแต่ละราย: ตรวจสอบลายเซ็นและผู้เผยแพร่ก่อนติดตั้งแพ็กเกจ ใช้เครื่องเสมือนแยกต่างหากเพื่อรันโมเดล AI ที่เพิ่งดาวน์โหลด และทำการหมุนเวียนคีย์ API ของแลกเปลี่ยนเป็นประจำ รวมถึงไม่เก็บคำช่วยจำของกระเป๋าเงินเข้ารหัสไว้บนอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต สำหรับระดับทีม จำเป็นต้องสร้าง “SBOM (ซอฟต์แวร์บิลล์ออฟแมททีเรียล / ซอฟต์แวร์物料清单)” และกระบวนการลงนามในห่วงโซ่อุปทาน
เหตุการณ์ที่จะติดตามต่อได้ ได้แก่ ผลการสืบสวนการบุกรุกอุปกรณ์ภายในของ Mistral, ว่า Hugging Face จะนำกลไกการตรวจสอบที่เข้มงวดยิ่งขึ้นสำหรับอันดับเทรนด์มาใช้หรือไม่ และข้อมูลติดตามของโปรเจกต์โมเดลมุ่งร้ายอื่น ๆ อีก 7 โปรเจกต์ที่ HiddenLayer เปิดโปง (รวมถึงเวอร์ชันปลอมของ Qwen3 และ DeepSeek)
บทความนี้: การโจมตีห่วงโซ่อุปทานแพ็กเกจ AI 2 คดี โดนแทรกซึมทั้ง Mistral และโมเดล OpenAI ปลอม ปรากฏครั้งแรกที่ ลิงก์ข่าว ABMedia
