เตือนภัยนักพัฒนา! พบแคมเปญมัลแวร์ลวงโลก "TrapDoor" บุกยึด npm, PyPI และ Crates.io มุ่งเป้าสาย Crypto และ AI

Published:

 

วงการผู้พัฒนาซอฟต์แวร์ (Developers) ต้องเพิ่มความระมัดระวังขั้นสูงสุดครับ! ล่าสุดมีการตรวจพบแคมเปญโจมตีห่วงโซ่อุปทานซอฟต์แวร์ (Software Supply Chain Attack) ครั้งใหญ่ในชื่อ "TrapDoor" ซึ่งแพร่กระจายมัลแวร์ขโมยข้อมูลส่วนตัว (Credential-Stealing Malware) ผ่านแพลตฟอร์มยอดฮิตของเหล่านักพัฒนา ทั้ง npm, PyPI และ Crates.io โดยเริ่มพบการเคลื่อนไหวระลอกแรกตั้งแต่วันที่ 22 พฤษภาคม 2026 ที่ผ่านมา

กลุ่มเป้าหมาย และสิ่งความเสียหายที่เกิดขึ้น

ทางทีมวิจัยจาก Socket ระบุว่า มัลแวร์ TrapDoor มุ่งเป้าโจมตีไปที่กลุ่มนักพัฒนาในชุมชน Crypto, DeFi, Solana และ AI เป็นหลัก โดยมันจะแฝงตัวมากับแพ็คเกจ (Packages) รวมกว่า 34 รายการ และมีการแตกเวอร์ชันย่อยออกไปมากกว่า 384 เวอร์ชัน สิ่งที่มันจ้องจะขโมยจากเครื่องของเหล่านักพัฒนามีตั้งแต่:

  • รหัสลับของนักพัฒนา (Developer Secrets)
  • กระเป๋าเงินดิจิทัล (Crypto Wallets)
  • คีย์สำหรับเข้าถึงเซิร์ฟเวอร์ (SSH Keys)
  • ข้อมูลการเข้าถึงระบบคลาวด์ (Cloud Credentials)
  • ข้อมูลบนเว็บเบราว์เซอร์ และค่าตัวแปรสภาพแวดล้อมระบบ (Environment Variables)

หมายเหตุ: แคมเปญ TrapDoor นี้ เป็นคนละตัวกับมัลแวร์บนแอปพลิเคชัน Android บน Google Play Store ที่ถูกรายงานไปเมื่อสัปดาห์ก่อน แม้จะใช้ชื่อซ้ำกันก็ตาม

รายชื่อแพ็คเกจอันตรายที่ต้องรีบลบด่วน!

หากคุณเป็นนักพัฒนา และมีการดึงแพ็คเกจเหล่านี้ไปใช้งานในโปรเจกต์ ขอให้รีบตรวจสอบและลบออกทันที โดยแบ่งตามระบบนิเวศน์ของภาษาต่าง ๆ ดังนี้ครับ:

ฝั่ง Crates.io (สำหรับนักพัฒนาภาษา Rust): มีแพ็คเกจที่ติดมัลแวร์ ได้แก่ move-analyzer-build, move-compiler-tools, move-project-builder, sui-framework-helpers, sui-move-build-helper และ sui-sdk-build-utils

ฝั่ง npm (สำหรับนักพัฒนาภาษา JavaScript/Node.js): พบแพ็คเกจอันตรายจำนวนมาก ได้แก่ async-pipeline-builder, build-scripts-utils, chain-key-validator, crypto-credential-scanner, defi-env-auditor, defi-threat-scanner, deployment-key-auditor, dev-env-bootstrapper, eth-wallet-sentinel, llm-context-compressor, mnemonic-safety-check, model-switch-router, node-setup-helpers, project-init-tools, prompt-engineering-toolkit, solidity-deploy-guard, token-usage-tracker, wallet-backup-verifier, wallet-security-checker, web3-secrets-detector และ workspace-config-loader

ฝั่ง PyPI (สำหรับนักพัฒนาภาษา Python): มีแพ็คเกจที่ติดมัลแวร์ ได้แก่ cryptowallet-safety, data-pipeline-check, defi-risk-scanner, env-loader-cli, eth-security-auditor, git-config-sync และ solidity-build-guard

กลโกงสุดแยบยล และการหลอกใช้ AI ทำงานสกปรก

ความน่ากลัวของ TrapDoor คือวิธีการแฝงตัวและการสั่งรันโค้ดที่ปรับเปลี่ยนไปตามแต่ละภาษาอย่างแนบเนียนเพื่อเข้าถึงกลุ่มผู้ฟังในวงกว้าง:

  • npm: จะรันสคริปต์ที่ชื่อ trap-core.js ทันทีหลังติดตั้ง (Postinstall hooks) เพื่อค้นหาคีย์ ตรวจสอบความถูกต้องของโทเค็น AWS และ GitHub จากนั้นจะพยายามเจาะทะลวงเข้าสู่เครื่องอื่นในเครือข่ายผ่าน SSH และฝังตัวถาวรในระบบผ่านช่องทางต่างๆ เช่น cron jobs, systemd และ Git hooks
  • Crates.io: ใช้สคริปต์คอมไพล์ระบบอย่าง build.rs ในการสั่งรันโค้ดอันตรายเพื่อค้นหาคีย์สโตร์ในเครื่อง เข้ารหัสข้อมูลด้วย XOR คีย์ที่กำหนดไว้ตายตัว แล้วแอบส่งข้อมูลออกไปยัง GitHub Gists โดยมุ่งเป้าไปที่นักพัฒนา Sui และ Move
  • PyPI: มัลแวร์จะทำงานทันทีที่มีการ import แพ็คเกจ โดยมันจะดาวน์โหลดโค้ด JavaScript ระยะไกลมาจากโดเมนที่แฮกเกอร์ควบคุมอยู่ (ddjidd564.github[.]io) แล้วสั่งรันผ่านคำสั่ง node -e ช่วยให้แฮกเกอร์สามารถอัปเดตและปรับเปลี่ยนพฤติกรรมมัลแวร์ภายนอกได้ตลอดเวลา โดยไม่ต้องเสียเวลาปล่อยแพ็คเกจเวอร์ชันใหม่บน PyPI

เหนือฟ้ายังมีฟ้า! แฮกเกอร์ใช้แผนซ้อนแผน หลอกเครื่องมือ AI สิ่งที่น่ากังวลที่สุดในแคมเปญนี้และถือเป็นเรื่องแปลกใหม่ คือแฮกเกอร์ได้แอบฝังคำสั่งซ่อนไว้ในไฟล์ .cursorrules และ CLAUDE.md เพื่อหลอกให้เครื่องมือผู้ช่วย AI (AI Assistants) เข้าใจผิด คิดว่ากำลังทำการ "สแกนความปลอดภัย" แต่แท้จริงแล้วคือการสั่งให้ AI ค้นหาคีย์ลับในเครื่องและส่งกลับไปให้แฮกเกอร์

โดยพบว่าแฮกเกอร์พยายามส่ง Pull Requests (PRs) เข้าไปในโปรเจกต์โอเพนซอร์สและโปรเจกต์ AI ชื่อดังอย่าง browser-use/browser-use, langchain-ai/langchain และ langflow-ai/langflow เพื่อทดสอบว่าไฟล์ที่มีคำสั่งซ่อนเหล่านี้จะหลุดรอดผ่านกระบวนการตรวจสอบซอร์สโค้ดปกติไปได้หรือไม่ ซึ่งหากหลุดรอดไปได้ เครื่องมือ AI ที่นักพัฒนาใช้แต่งโค้ดก็จะกลายเป็นสายลับคอยขโมยข้อมูลให้แฮกเกอร์ทันที

สรุปสถานการณ์

แคมเปญ TrapDoor แสดงให้เห็นว่า แฮกเกอร์ในปัจจุบันไม่ได้พึ่งพาแค่การตั้งชื่อแพ็คเกจให้คล้ายของจริงเพื่อดักควาย (Typosquatting) อีกต่อไปแล้ว แต่พวกมันกำลังเจาะลึกเข้าไปในกระบวนการทำงานของนักพัฒนาโดยตรง รวมถึงการใช้ประโยชน์จากช่องโหว่ทางความคิดของ AI Coding Tools เพื่อการฝังตัวที่ลึกขึ้นและขยายการโจมตีต่อไปในอนาคต

ดังนั้น ก่อนจะทำการติดตั้งแพ็คเกจใด ๆ ลงในเครื่อง ตรวจสอบสคริปต์ แหล่งที่มา และความจำเป็นในการใช้งานให้ถี่ถ้วนทุกครั้งครับ!

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์