เตือนภัย! พบแพ็กเกจ npm อันตราย ใช้ Smart Contract ซ่อนโค้ดร้าย มุ่งเป้าโจมตีนักพัฒนาสายคริปโต
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบแพ็กเกจอันตราย 2 ตัวใหม่บน npm ซึ่งเป็นคลังเก็บไลบรารีโค้ดสำหรับนักพัฒนา โดยความน่าสนใจคือ แฮกเกอร์ได้ใช้เทคนิคใหม่ในการนำ Smart Contract ของบล็อกเชน Ethereum มาเป็นเครื่องมือในการซ่อนคำสั่งอันตรายเพื่อติดตั้งมัลแวร์ลงบนเครื่องของเหยื่อ นับเป็นสัญญาณที่ชี้ให้เห็นว่าผู้ไม่หวังดีกำลังมองหาวิธีการใหม่ๆ ในการเผยแพร่มัลแวร์และหลบเลี่ยงการตรวจจับอยู่เสมอ
คุณ Lucija Valentić นักวิจัยจาก ReversingLabs กล่าวในรายงานว่า "แพ็กเกจ npm ทั้งสองตัวนี้ได้ใช้ Smart Contract ในทางที่ผิดเพื่อซ่อนคำสั่งอันตรายที่ใช้ติดตั้งมัลแวร์ประเภท Downloader (ตัวดาวน์โหลดมัลแวร์อื่น) ลงในระบบที่ถูกโจมตี"
แพ็กเกจดังกล่าวถูกอัปโหลดขึ้น npm ในเดือนกรกฎาคม 2025 และถูกลบออกไปแล้ว ได้แก่:
- colortoolsv2 (มียอดดาวน์โหลด 7 ครั้ง)
- mimelib2 (มียอดดาวน์โหลด 1 ครั้ง)
บริษัทด้านความปลอดภัยซัพพลายเชนซอฟต์แวร์ระบุว่า ไลบรารีทั้งสองนี้เป็นส่วนหนึ่งของแคมเปญขนาดใหญ่และซับซ้อนที่ส่งผลกระทบทั้งบน npm และ GitHub เพื่อหลอกลวงให้นักพัฒนาที่ไม่ทันระวังดาวน์โหลดไปใช้งาน
เทคนิคใหม่: ใช้ Smart Contract ซ่อนโค้ดร้าย
แม้ว่าโค้ดในตัวแพ็กเกจจะไม่ได้พยายามซ่อนการทำงานที่เป็นอันตราย แต่สิ่งที่น่าสังเกตคือโปรเจกต์บน GitHub ที่นำแพ็กเกจเหล่านี้ไปใช้ กลับถูกสร้างขึ้นมาให้ดูน่าเชื่อถือเป็นอย่างมาก
การทำงานของมัลแวร์จะเริ่มขึ้นทันทีที่นักพัฒนานำแพ็กเกจตัวใดตัวหนึ่งไปใช้ในโปรเจกต์ของตนเอง มันจะทำการดึงและรันมัลแวร์ขั้นต่อไปจากเซิร์ฟเวอร์ที่แฮกเกอร์ควบคุมอยู่
แม้ว่านี่จะเป็นรูปแบบปกติของมัลแวร์ประเภท Downloader แต่จุดที่แตกต่างและน่าสนใจคือ การใช้ Smart Contract ของ Ethereum เป็นที่เก็บ URL ที่อยู่ของมัลแวร์ ซึ่งเป็นเทคนิคที่คล้ายกับ EtherHiding ที่เคยพบก่อนหน้านี้ การเปลี่ยนแปลงนี้ตอกย้ำถึงกลยุทธ์ใหม่ๆ ที่ผู้โจมตีกำลังนำมาใช้เพื่อหลบเลี่ยงการตรวจจับ
เบื้องหลังคือเครือข่ายบัญชีปลอม
การสืบสวนเพิ่มเติมพบว่า แพ็กเกจเหล่านี้ถูกอ้างอิงอยู่ในเครือข่ายของ Repository บน GitHub ที่อ้างว่าเป็น solana-trading-bot-v2 (บอทเทรดเหรียญ Solana) โดยโฆษณาว่าสามารถ "ใช้ข้อมูล on-chain แบบเรียลไทม์เพื่อเทรดอัตโนมัติ ช่วยประหยัดเวลาและแรง" ซึ่งขณะนี้บัญชี GitHub ที่เกี่ยวข้องถูกลบไปแล้ว
คาดว่าบัญชีเหล่านี้เป็นส่วนหนึ่งของบริการที่เรียกว่า Stargazers Ghost Network ซึ่งเป็นกลุ่มบัญชี GitHub ปลอมที่สร้างขึ้นมาเพื่อ "ปั่น" ความนิยมให้กับ Repository อันตรายโดยเฉพาะ เช่น การกด star, fork, watch, commit และ subscribe เพื่อทำให้โปรเจกต์ดูน่าเชื่อถือและมีคนใช้งานเยอะ
นอกจากนี้ยังพบ Repository อื่นๆ ที่พยายามผลักดันแพ็กเกจอันตรายเหล่านี้ เช่น ethereum-mev-bot-v2, arbitrage-bot และ hyperliquid-trading-bot ซึ่งชื่อของ Repository เหล่านี้ชี้ชัดว่าเป้าหมายหลักของแคมเปญนี้คือนักพัฒนาและผู้ใช้งานในแวดวง Cryptocurrency โดยใช้หลักวิศวกรรมสังคมและการหลอกลวงร่วมด้วย
คำแนะนำสำหรับนักพัฒนา
"เป็นเรื่องสำคัญอย่างยิ่งสำหรับนักพัฒนาที่จะต้องประเมินไลบรารีแต่ละตัวที่กำลังพิจารณานำมาใช้ ก่อนที่จะตัดสินใจรวมมันเข้าไว้ในโปรเจกต์ของตนเอง" คุณ Valentić กล่าวสรุป "นั่นหมายถึงการตรวจสอบเบื้องลึกเบื้องหลังของทั้งตัวแพ็กเกจโอเพนซอร์สและผู้ดูแล ไม่ใช่แค่การมองตัวเลขดาวน์โหลดหรือจำนวนผู้ดูแลเพียงผิวเผิน แต่ต้องประเมินว่าแพ็กเกจและนักพัฒนาที่อยู่เบื้องหลังนั้น เป็นอย่างที่พวกเขาแสดงตัวตนออกมาจริงหรือไม่"
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก