ช่องโหว่ร้ายแรงที่พบหลัง Claude Code หลุด

5
เมษายน

หลังจาก Source Code ของ Claude Code หลุดออกสู่สาธารณะเมื่อ 31 มีนาคม 2569 สิ่งที่ตามมาคือ การค้นพบช่องโหว่ร้ายแรงหลายจุด โดยนักวิจัยด้านความปลอดภัยทั่วโลก — ตั้งแต่ Deny Rules ที่ถูกข้ามได้ ไปจนถึง Supply Chain Attack และ Malware ที่แฝงมากับเหตุการณ์นี้ บทความ EP 2/3 จะวิเคราะห์แต่ละช่องโหว่อย่างละเอียด

สรุปสั้นๆ — ช่องโหว่อะไรบ้าง?

พบ 3 ภัยคุกคามหลัก: (1) ช่องโหว่ Deny Rules Bypass — เมื่อ command มีมากกว่า 50 subcommands ระบบจะข้ามการตรวจสอบ Security ทั้งหมด (2) Supply Chain Attack — axios เวอร์ชันปลอมที่มี RAT ฝังอยู่ (3) GitHub repo ปลอมที่หลอกดาวน์โหลด Malware

ช่องโหว่ที่ 1 — Deny Rules Bypass (Critical)

หลัง Source Code หลุด ทีม Red Team จาก Adversa AI ได้วิเคราะห์โค้ดและค้นพบช่องโหว่ร้ายแรงใน Claude Code — เมื่อ command มีมากกว่า 50 subcommands ระบบความปลอดภัยทั้งหมดจะถูก ข้ามไปอย่างเงียบๆ (silently skipped) รวมถึง Deny Rules, Security Validators และ Command Injection Detection

สิ่งที่อันตรายที่สุดคือ command ลำดับที่ 51 จะ fallback ไปใช้โหมด "ask as required" — แต่ผู้ใช้จะ ไม่ได้รับการแจ้งเตือนใดๆ ว่า Deny Rules ถูกข้ามไปแล้ว

สถานการณ์	Deny Rules	Security Validators	Command Injection Detection	ผลลัพธ์
command ≤ 50	ทำงานปกติ	ทำงานปกติ	ทำงานปกติ	ปลอดภัย
command > 50	ถูกข้าม	ถูกข้าม	ถูกข้าม	อันตราย

วิธีโจมตี — CLAUDE.md Attack Vector

ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้โดยการฝังคำสั่งอันตรายใน CLAUDE.md (ไฟล์คอนฟิกของ Claude Code ที่อยู่ใน Repository) ซึ่งเป็นเทคนิคที่คล้ายกับการโจมตีแบบ SQL Injection หรือ XSS ที่ฝังคำสั่งไว้ในจุดที่ระบบอ่านอัตโนมัติ

ขั้นตอนการโจมตี:

Attacker ฝังคำสั่งอันตรายใน CLAUDE.md ของ Repository — ทำให้ดูเหมือน build steps ปกติ
สร้าง pipeline ที่มี 50+ subcommands ที่ดูเหมือนงาน routine
command ลำดับที่ 51 จะถูกรันโดย ไม่ผ่านการตรวจสอบ Security ใดๆ
ผู้โจมตีสามารถ exfiltrate ข้อมูลสำคัญออกจากเครื่องได้

ตัวอย่างสิ่งที่ผู้โจมตีอาจขโมยได้:

SSH Private Keys
AWS Credentials
GitHub Tokens
npm Tokens
Environment Secrets
Browser Cookies

Anthropic แก้ไขแล้วหรือยัง?

หลังจาก Adversa AI รายงานช่องโหว่นี้ Anthropic ได้แก้ไขอย่างเงียบๆ ใน Claude Code v2.1.90 โดยไม่มีการประกาศอย่างเป็นทางการในช่วงแรก อย่างไรก็ตาม รายงานจาก CSO Online ระบุว่าช่องโหว่อาจยังถูก bypass ได้บางส่วน — องค์กรที่ใช้ Claude Code ควรอัปเดตเป็นเวอร์ชันล่าสุดเสมอ และมีระบบ การยืนยันตัวตนแบบ 2 ชั้น (2FA) ป้องกันเพิ่มเติม

ช่องโหว่ที่ 2 — Supply Chain Attack (axios ปลอม)

ในช่วงที่ Source Code หลุด (31 มีนาคม 2569 เวลา 00:21-03:29 UTC) มีเหตุการณ์ร้ายแรงอีกอย่างเกิดขึ้น — มีคนเผยแพร่ axios เวอร์ชันปลอม ที่มี Remote Access Trojan (RAT) ฝังอยู่บน npm

axios เวอร์ชัน 1.14.1 และ 0.30.4 ที่ถูกเผยแพร่ในช่วงเวลาดังกล่าวมี RAT ฝังอยู่ — ใครก็ตามที่ติดตั้งหรืออัปเดต Claude Code ผ่าน npm ในช่วงเวลานั้น อาจได้รับโค้ดอันตรายไปด้วย

เวลา (UTC)	เหตุการณ์
00:21	sourcemap หลุด → npm package ถูกเผยแพร่
00:21-03:29	axios เวอร์ชันปลอม (1.14.1, 0.30.4) ถูกเผยแพร่พร้อม RAT
03:29	Anthropic ถอน package ออกจาก npm

RAT ทำอะไรได้?

Remote Access Trojan (RAT) ที่ฝังมากับ axios ปลอม ทำให้ผู้โจมตีสามารถ ควบคุมเครื่องของเหยื่อได้จากระยะไกล — รวมถึงการขโมย credentials, ติดตั้ง malware เพิ่มเติม และเข้าถึงไฟล์ในเครื่อง

สิ่งที่น่ากังวลเป็นพิเศษคือเหยื่อส่วนใหญ่เป็น นักพัฒนาซอฟต์แวร์ ที่มักมีสิทธิ์เข้าถึง production systems, cloud credentials และระบบภายในขององค์กร — ทำให้ผลกระทบอาจลุกลามไปไกลกว่าเครื่องส่วนตัว

ช่องโหว่ Claude Code Deny Rules Bypass Security

ช่องโหว่ที่ 3 — Malware แฝงใน GitHub

นอกจาก Supply Chain Attack แล้ว ยังมีผู้ไม่หวังดีที่ฉวยโอกาสจากเหตุการณ์นี้ — ผู้ใช้ GitHub ชื่อ "idbzoomh" สร้าง repository ปลอมที่หลอกว่าเป็น "Claude Code source code" เพื่อล่อให้คนดาวน์โหลด

แต่สิ่งที่ซ่อนอยู่จริงๆ คือ Malware 2 ตัว:

Malware	ประเภท	สิ่งที่ขโมย/ทำ
Vidar	Infostealer	ขโมย credentials, ข้อมูลบัตรเครดิต, ประวัติการท่องเว็บ
GhostSocks	Proxy Trojan	ใช้เครื่องเหยื่อเป็น proxy เครือข่าย — ผู้โจมตีส่งทราฟฟิกผ่านเครื่องเหยื่อได้

Vidar เป็น infostealer ที่มีชื่อเสียงในวงการ cybercrime — สามารถขโมย account credentials, ข้อมูลบัตรเครดิต และ browser history ได้ทั้งหมด ส่วน GhostSocks ทำให้ผู้โจมตีใช้เครื่องของเหยื่อเป็น proxy สำหรับส่ง network traffic — ซึ่งอาจถูกใช้ในการโจมตีเป้าหมายอื่นต่อไป

ความเสี่ยงจาก Source Code ที่หลุด

สิ่งที่ทำให้สถานการณ์น่ากังวลในระยะยาวคือ Source Code ที่หลุดออกมาถูก นักพัฒนา นักวิจัย และผู้ไม่หวังดีหลายพันคนนำไปวิเคราะห์แล้ว:

ถูก port ไปเป็น Rust และ Python — และแจกจ่ายต่อในหลายช่องทาง
มีศักยภาพในการค้นพบช่องโหว่เพิ่มเติม — การรู้ internal architecture ช่วยให้ผู้โจมตีสร้าง targeted attack ได้แม่นยำขึ้น
Deny Rules อาจถูก bypass ด้วยวิธีอื่น — ที่ยังไม่ถูกค้นพบ
ความรู้เรื่อง tool permission system — ช่วยให้สร้าง prompt injection ที่ซับซ้อนขึ้นได้

บทเรียนด้าน Security จากเหตุการณ์นี้

เหตุการณ์ Claude Code Source Code หลุดเป็นบทเรียนสำคัญสำหรับทุกองค์กรที่ใช้ AI tools ในการทำงาน — ไม่ว่าจะเป็นเครื่องมือเขียนโค้ด, ระบบ Code Review หรือ AI assistant ต่างๆ

สิ่งที่องค์กรควรทำ

ตรวจสอบ dependency ที่ใช้เสมอ — ใช้เครื่องมือ audit เช่น npm audit, Snyk หรือ Dependabot
มี policy สำหรับ AI tools — กำหนดว่า AI tools ตัวไหนใช้ได้ ใช้ไม่ได้ ใช้อย่างไร
เปิดใช้ 2FA ทุกบัญชี — โดยเฉพาะ GitHub, npm, AWS, cloud providers
ใช้ระบบ ERP ที่ผ่าน security audit — เลือกระบบที่มีมาตรฐานความปลอดภัยที่ตรวจสอบได้
Monitor supply chain — ตั้ง alert สำหรับ dependency ที่มีเวอร์ชันผิดปกติ

สรุป — 3 ช่องโหว่ที่พบหลัง Claude Code หลุด

ช่องโหว่	ความรุนแรง	สถานะการแก้ไข
Deny Rules Bypass (command > 50)	Critical	แก้ไขแล้วใน v2.1.90 (อาจยังมีช่องโหว่บางส่วน)
Supply Chain Attack (axios ปลอม + RAT)	Critical	ถอน package แล้ว — แต่ผู้ที่ติดตั้งช่วง 00:21-03:29 UTC อาจได้รับผลกระทบ
Malware บน GitHub (Vidar + GhostSocks)	High	Repo ถูกลบแล้ว — แต่ผู้ที่ดาวน์โหลดอาจติด malware

การหลุดของ Source Code ไม่ใช่แค่ปัญหาด้านทรัพย์สินทางปัญญา — มันเปิดประตูให้นักวิจัยและผู้ไม่หวังดีค้นหาช่องโหว่ที่ซ่อนอยู่ได้เร็วขึ้นเป็นทวีคูณ
- ทีมงาน Saeree ERP

อ่านต่อ — EP 1 และ EP 3

แหล่งอ้างอิง

หากองค์กรของคุณกำลังมองหาระบบ ERP ที่ให้ความสำคัญกับความปลอดภัยและผ่านมาตรฐาน security audit สามารถนัดหมาย Demo หรือติดต่อทีมที่ปรึกษาเพื่อพูดคุยเพิ่มเติม