เตือนภัยนักพัฒนา! นักวิจัยพบแคมเปญมัลแวร์ซัพพลายเชน แฝงตัวบน npm พุ่งเป้าขโมยข้อมูลและรหัสผ่าน

Published:


วันนี้ผมมีข่าวแจ้งเตือนภัยไซเบอร์ที่คนสายเดฟและชาวไอทีต้องฟังด่วนๆ ครับ ล่าสุดนักวิจัยด้านความปลอดภัยได้ตรวจพบแพ็กเกจอันตรายบน npm (Node Package Manager) ที่ปลอมตัวเป็นเครื่องมือยอดฮิตอย่าง PostCSS แต่เบื้องหลังแอบฝังมัลแวร์ประเภท RAT (Remote Access Trojan) เพื่อเจาะระบบปฏิบัติการ Windows ครับ

รายชื่อแพ็กเกจอันตรายที่ต้องระวัง

จากการตรวจสอบพบแพ็กเกจ 3 ตัวหลักๆ ที่ถูกปล่อยโดยผู้ใช้ที่ชื่อว่า "abdrizak" ซึ่งแม้จะมียอดดาวน์โหลดไม่สูงมาก แต่ก็ยังคงปล่อยให้โหลดอยู่ (ณ ช่วงที่ตรวจพบ) ได้แก่

  • aes-decode-runner-pro
  • postcess-minify-selector
  • postcess-minify-selector-parser
ทริคเนียนๆของแฮกเกอร์: แฮกเกอร์ตั้งชื่อแพ็กเกจให้อิงกับ postcess-selector-parser ซึ่งเป็นไลบรารียอดนิยมที่มีคนโหลดสัปดาห์ละกว่า 127 ล้านครั้ง เพื่อหลอกให้คนเข้าใจผิดคิดว่าเป็นเครื่องมือเสริมครับ

แผนการเจาะระบบ (Attack Chain) สุดซับซ้อน

ไม่ว่าคุณจะพลาดไปกดโหลดตัวไหนใน 3 ตัวนี้ ผลลัพธ์สุดท้ายคือโดนมัลแวร์ตัวเดียวกัน โดยมีขั้นตอนการทำงานดังนี้ครับ

  1. ตัวดรอปเปอร์ (JavaScript Dropper): เมื่อติดตั้งแพ็กเกจ มันจะเขียนสคริปต์ PowerShell ชื่อ settings.ps1 ลงเครื่องแล้วสั่งรันทันที
  2. ดาวน์โหลดไฟล์ ZIP: สคริปต์จะใช้ curl.exe ไปดึงไฟล์ ZIP มาจากเซิร์ฟเวอร์ภายนอก (nvidiadriver[.]net)
  3. ปลุกมัลแวร์สายพันธ์ุ Python: ในไฟล์ ZIP จะมี Visual Basic Script (update.vbs) ทำหน้าที่เซ็ตอัปสภาพแวดล้อม Python ในเครื่องเหยื่อ แล้วสั่งรันไฟล์ loader.py เพื่อเปิดใช้านมัลแวร์หลักที่ถูกคอมไพล์ด้วย Nuitka ออกมาเป็นไฟล์นามสกุล .pyd

ความสามารถของมัลแวร์ตัวนี้ (RAT)

  • ขโมยข้อมูลของเครื่องเหยื่อ
  • ดูดข้อมูลรหัสผ่าน (Credentials) และข้อมูลจาก Extension บน Google Chrome (ข้ามระบบป้องกัน Encryption ได้ด้วย)
  • รันคำสั่ง Shell และรับ-ส่งไฟล์กับเซิร์ฟเวอร์ C2 (95.216.92[.]207:8080)

แถมพ่วงงอีก 3 แคมเปญอันตรายที่ระบาดพร้อมกัน

นอกจากเคสข้างบนแล้ว ทางทีมวิจัยยังเจอภัยคุกคามบนระบบนิเวศของ npm และ TypeScript อีก 3 รูปแบบใหญ่ๆครับ

  • apintergrationpost: ปลอมตัวเป็นเครื่องมือทดสอบระบบ แต่จริงๆ คือ Linux RAT ชื่อ MYRA มาพร้อมความสามารถสตรีมหน้าจอสดๆ และฝังตัวในระบบอย่างเหนียวแน่น
  • @withgoogle/stitch-sdk: ปลอมเป็นเครื่องมือดีไซน์ Stitch AI ของ Google แต่เป้าหมายคือเข้าไปขโมยรหัสผ่านและโทเคนของนักพัฒนาจาก 8 แหล่งสำคัญ (เช่น Claude Code, git config, SSH keys, npm config) แล้วส่งกลับเซิร์ฟเวอร์แฮกเกอร์
  • กลุ่มแพ็กเกจซ่อนเงื่อน 5 ตัว (prowire, routecraft ฯลฯ): วางพล็อตให้ดาวน์โหลดต่อกันเป็นทอดๆ เพื่อรันไฟล์อันตรายบน Windows ทันทีที่สั่ง npm install
ทีมนักวิจัยจาก JFrog และ SafeDep เตือนไว้ชัดเจนครับว่า "อย่ามองข้ามแพ็กเกจที่ชื่อคล้ายๆ กันเด็ดขาด เพราะมันไม่ใช่แค่ชื่อซ้ำธรรมดา แต่มันคือช่องทางส่งมัลแวร์ชั้นดี" สำหรับใครที่รู้ตัวว่าพลาดไปกดติดตั้งแพ็กเกจเหล่านี้ ให้รีบลบออกทันที ล้างไฟล์ตกค้างในเครื่อง และที่สำคัญที่สุดคือ รีบเปลี่ยนรหัสผ่าน (Rotate Credentials) ทั้งหมดที่อยู่ในเครื่องคอมพิวเตอร์เครื่องนั้นโดยด่วนครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์