ระวัง! พบแคมเปญ "Ghost" ส่ง 7 แพ็กเกจอันตรายลง npm จ้องสูบเงินคริปโตและรหัสผ่าน
ผมมีเรื่องด่วนมาเตือนเหบ่านักพัฒนาซอฟต์แวร์ (Developer) และสายเทคฯ ทั้งหลาย เมื่อนักวิจัยจาก ReversingLabs ตรวจพบแคมเปญมัลแวร์ที่ชื่อว่า "Ghost" ที่แฝงตัวมาในรูปแบบของแพ็กเกจบนระบบ npm (แหล่งรวมโค้ดที่โปรแกรมเมอร์นิยมใช้) เพื่อเป้าหมายเดียวคือ ขโมยกระเป๋าเงินคริปโตและข้อมูลสำคัญ
รายชื่อแพ็กเกจอันตราย (ใครโหลดไปต้องรีบลบ)
แพ็กเกจเหล่านี้ถูกเผยแพร่โดยผู้ใช้ที่ชื่อว่า "mikilanjillo" ซึ่งดูภายนอกเหมือนเครื่องมือช่วยพัฒนาทั่วไป แต่ไว้ในคือมัลแวร์ครับ
- react-performance-suite
- react-state-optimizer-core
- react-fast-utilsa
- ai-fast-utilsa
- pkgnewfefame1
- carbon-mac-copy-cloner
- coinbase-desktop-sdk
วิธีหลอกล่อสุดเนียน (Sophisticated Phishing)
ความน่ากลังของแคมเปญนี้คือความ "เนียน" ครับ นักวิจัยระบุว่ามัลแวร์จะใช้วิธีดังนี้
- สร้าง Log ปลอม: ขณะติดตั้ง มันจะแสดงข้อความบนหน้าจอเหมือนว่ากำลังโหลดไฟล์ปกติ มีการใส่ Delay (การหน่วงเวล) ให้ดูเหมือนเครื่องกำลังทำงานหนักจริงๆ
- หลอกขอรหัส Sudo: มัลแวร์จะแกล้งบอกว่า "เกิดข้อผิดพลาดในการเขียนไฟล์ (Permission Error)" แล้วขึ้นหน้าต่างให้เราใส่รหัสผ่าน Administrator หรือ sudo password
- ดึงข้อมูลผ่าน Telegram: เมื่อได้รหัสไปแล้ว มันจะแอบไปดึงคำสั่งจากช่อง Telegram เพื่อดาวน์โหลดมัลแวร์ตัวจริง (Remote Access Trojan) มาลงเครื่องเรา
ขขยายวงกว้างไปยังสาย AI และ GitHub
นอกจาก npm แล้ว ทีม Jamf Threat Labs ยังพบว่าแคมเปญนี้ (หรือที่เรียกว่า GhostClaw) ลามไปถึงบน GitHub โดยสร้าง Repository ปลอมที่ดูน่าเชื่อถือ มีคนกด Star ให้เป็นร้อย (ซึ่งอาจเป็น Bot) เพื่อหลอกให้คนโหลดไปใช้ โดยเฉพาะกลุ่มที่ทำงานด้าน AI Workflows ผ่านไฟล์ที่ชื่อ SKILL.md
เป้าหมายสุดท้าย ข้อมูลและเงินคริปโต
เมื่อมัลแวร์ฝังตัวสำเร็จ มันจะกวาดข้อมูลทุกอย่าง ตั้งแต่
- Crypto Wallets: กระเป๋าเงินดิจิทัลต่างๆ
- Browser Credentials: รหัสผ่านที่บันทึกไว้ในเบราว์เซอร์
- SSH Keys & Cloud Config: ข้อมูลการเข้าถึงเซิร์ฟเวอร์และคลาวด์
- รายได้ทางสอง: มีการใช้ Smart Contract บน Binance Smart Chain (BSC) เพื่ออัปเดต URL และเปลี่ยนทิศทางการรับเงิน (Affiliate) โดยไม่ต้องแก้ตัวมับแวร์เลย
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก