“npm ถูกเจาะ! แพ็กเกจยอดนิยมกว่า 18 รายการถูกฝังมัลแวร์ ขโมยคริปโตผ่านเว็บเบราว์เซอร์”
ลองนึกภาพว่าคุณเป็นนักพัฒนาเว็บ ใช้แพ็กเกจยอดนิยมอย่าง chalk, debug, หรือ strip-ansi ในโปรเจกต์ของคุณโดยไม่รู้เลยว่า...ตอนนี้มันกลายเป็นเครื่องมือขโมยคริปโตไปแล้ว!
เมื่อวันที่ 8 กันยายน 2025 นักวิจัยด้านความปลอดภัยจาก Aikido Security ตรวจพบการโจมตีครั้งใหญ่ในระบบนิเวศของ npm ซึ่งเป็นแพ็กเกจแมเนเจอร์ยอดนิยมของ Node.js โดยมีการฝังมัลแวร์ลงในแพ็กเกจยอดนิยมถึง 18 รายการ รวมกันมีการดาวน์โหลดมากกว่า 2.6 พันล้านครั้งต่อสัปดาห์
มัลแวร์นี้ทำงานแบบ “เงียบเชียบ” โดยแทรกตัวเข้าไปในเบราว์เซอร์ของผู้ใช้ผ่านโค้ด JavaScript ที่ถูกฝังไว้ในแพ็กเกจ เมื่อผู้ใช้เข้าเว็บไซต์ที่ใช้แพ็กเกจเหล่านี้ มัลแวร์จะดักจับการทำธุรกรรมคริปโต เช่น Ethereum, Bitcoin, Solana, Tron, Litecoin และ Bitcoin Cash แล้วเปลี่ยนปลายทางของธุรกรรมไปยังกระเป๋าเงินของแฮกเกอร์ โดยที่ผู้ใช้ไม่รู้ตัวเลย
เบื้องหลังการโจมตีนี้คือการหลอกลวงผ่านอีเมลฟิชชิ่งที่ปลอมตัวเป็นทีมสนับสนุนของ npm โดยส่งข้อความแจ้งเตือนให้ผู้ดูแลแพ็กเกจอัปเดตการยืนยันตัวตนแบบสองขั้นตอน (2FA) มิฉะนั้นบัญชีจะถูกล็อก ผลคือผู้ดูแลชื่อดังอย่าง Josh Junon (Qix-) เผลอให้สิทธิ์เข้าถึงบัญชีของตน และแฮกเกอร์ก็ใช้ช่องทางนี้ในการปล่อยมัลแวร์
สิ่งที่น่ากลัวคือ มัลแวร์นี้ไม่เพียงแค่เปลี่ยนปลายทางธุรกรรม แต่ยังสามารถดัดแปลง API, ปลอมแปลงข้อมูลที่แสดงบนหน้าจอ และหลอกให้ผู้ใช้เซ็นธุรกรรมที่ถูกเปลี่ยนแปลงแล้ว โดยที่อินเทอร์เฟซยังดูเหมือนปกติทุกประการ
การโจมตีแบบ supply chain ผ่าน npm
เกิดขึ้นเมื่อวันที่ 8 กันยายน 2025
แพ็กเกจที่ถูกฝังมัลแวร์มีมากถึง 18 รายการ เช่น chalk, debug, strip-ansi
รวมกันมีการดาวน์โหลดมากกว่า 2.6 พันล้านครั้งต่อสัปดาห์
มัลแวร์ถูกฝังในไฟล์ index.js ของแพ็กเกจ
โค้ดมีการ obfuscate เพื่อหลบเลี่ยงการตรวจจับ
มัลแวร์ทำงานโดยดักจับข้อมูลจาก window.ethereum และ API อื่นๆ
เปลี่ยนปลายทางธุรกรรมไปยังกระเป๋าเงินของแฮกเกอร์
ใช้เทคนิค string-matching เพื่อแทนที่ address ด้วย address ปลอมที่คล้ายกัน
แฮกเกอร์ใช้ phishing email จากโดเมนปลอม npmjs.help เพื่อหลอกผู้ดูแลแพ็กเกจ
ผลกระทบต่อระบบนิเวศ
แพ็กเกจเหล่านี้ถูกใช้ในหลายโปรเจกต์ทั่วโลก รวมถึง Babel, ESLint และอื่นๆ
อาจมีแอปพลิเคชันจำนวนมากที่ถูกอัปเดตไปยังเวอร์ชันที่มีมัลแวร์โดยไม่รู้ตัว
นักพัฒนาควรตรวจสอบ dependency tree ของโปรเจกต์ตนเองทันที
https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
ลองนึกภาพว่าคุณเป็นนักพัฒนาเว็บ ใช้แพ็กเกจยอดนิยมอย่าง chalk, debug, หรือ strip-ansi ในโปรเจกต์ของคุณโดยไม่รู้เลยว่า...ตอนนี้มันกลายเป็นเครื่องมือขโมยคริปโตไปแล้ว!
เมื่อวันที่ 8 กันยายน 2025 นักวิจัยด้านความปลอดภัยจาก Aikido Security ตรวจพบการโจมตีครั้งใหญ่ในระบบนิเวศของ npm ซึ่งเป็นแพ็กเกจแมเนเจอร์ยอดนิยมของ Node.js โดยมีการฝังมัลแวร์ลงในแพ็กเกจยอดนิยมถึง 18 รายการ รวมกันมีการดาวน์โหลดมากกว่า 2.6 พันล้านครั้งต่อสัปดาห์
มัลแวร์นี้ทำงานแบบ “เงียบเชียบ” โดยแทรกตัวเข้าไปในเบราว์เซอร์ของผู้ใช้ผ่านโค้ด JavaScript ที่ถูกฝังไว้ในแพ็กเกจ เมื่อผู้ใช้เข้าเว็บไซต์ที่ใช้แพ็กเกจเหล่านี้ มัลแวร์จะดักจับการทำธุรกรรมคริปโต เช่น Ethereum, Bitcoin, Solana, Tron, Litecoin และ Bitcoin Cash แล้วเปลี่ยนปลายทางของธุรกรรมไปยังกระเป๋าเงินของแฮกเกอร์ โดยที่ผู้ใช้ไม่รู้ตัวเลย
เบื้องหลังการโจมตีนี้คือการหลอกลวงผ่านอีเมลฟิชชิ่งที่ปลอมตัวเป็นทีมสนับสนุนของ npm โดยส่งข้อความแจ้งเตือนให้ผู้ดูแลแพ็กเกจอัปเดตการยืนยันตัวตนแบบสองขั้นตอน (2FA) มิฉะนั้นบัญชีจะถูกล็อก ผลคือผู้ดูแลชื่อดังอย่าง Josh Junon (Qix-) เผลอให้สิทธิ์เข้าถึงบัญชีของตน และแฮกเกอร์ก็ใช้ช่องทางนี้ในการปล่อยมัลแวร์
สิ่งที่น่ากลัวคือ มัลแวร์นี้ไม่เพียงแค่เปลี่ยนปลายทางธุรกรรม แต่ยังสามารถดัดแปลง API, ปลอมแปลงข้อมูลที่แสดงบนหน้าจอ และหลอกให้ผู้ใช้เซ็นธุรกรรมที่ถูกเปลี่ยนแปลงแล้ว โดยที่อินเทอร์เฟซยังดูเหมือนปกติทุกประการ
การโจมตีแบบ supply chain ผ่าน npm
เกิดขึ้นเมื่อวันที่ 8 กันยายน 2025
แพ็กเกจที่ถูกฝังมัลแวร์มีมากถึง 18 รายการ เช่น chalk, debug, strip-ansi
รวมกันมีการดาวน์โหลดมากกว่า 2.6 พันล้านครั้งต่อสัปดาห์
มัลแวร์ถูกฝังในไฟล์ index.js ของแพ็กเกจ
โค้ดมีการ obfuscate เพื่อหลบเลี่ยงการตรวจจับ
มัลแวร์ทำงานโดยดักจับข้อมูลจาก window.ethereum และ API อื่นๆ
เปลี่ยนปลายทางธุรกรรมไปยังกระเป๋าเงินของแฮกเกอร์
ใช้เทคนิค string-matching เพื่อแทนที่ address ด้วย address ปลอมที่คล้ายกัน
แฮกเกอร์ใช้ phishing email จากโดเมนปลอม npmjs.help เพื่อหลอกผู้ดูแลแพ็กเกจ
ผลกระทบต่อระบบนิเวศ
แพ็กเกจเหล่านี้ถูกใช้ในหลายโปรเจกต์ทั่วโลก รวมถึง Babel, ESLint และอื่นๆ
อาจมีแอปพลิเคชันจำนวนมากที่ถูกอัปเดตไปยังเวอร์ชันที่มีมัลแวร์โดยไม่รู้ตัว
นักพัฒนาควรตรวจสอบ dependency tree ของโปรเจกต์ตนเองทันที
https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
🚨 “npm ถูกเจาะ! แพ็กเกจยอดนิยมกว่า 18 รายการถูกฝังมัลแวร์ ขโมยคริปโตผ่านเว็บเบราว์เซอร์”
ลองนึกภาพว่าคุณเป็นนักพัฒนาเว็บ ใช้แพ็กเกจยอดนิยมอย่าง chalk, debug, หรือ strip-ansi ในโปรเจกต์ของคุณโดยไม่รู้เลยว่า...ตอนนี้มันกลายเป็นเครื่องมือขโมยคริปโตไปแล้ว!
เมื่อวันที่ 8 กันยายน 2025 นักวิจัยด้านความปลอดภัยจาก Aikido Security ตรวจพบการโจมตีครั้งใหญ่ในระบบนิเวศของ npm ซึ่งเป็นแพ็กเกจแมเนเจอร์ยอดนิยมของ Node.js โดยมีการฝังมัลแวร์ลงในแพ็กเกจยอดนิยมถึง 18 รายการ รวมกันมีการดาวน์โหลดมากกว่า 2.6 พันล้านครั้งต่อสัปดาห์
มัลแวร์นี้ทำงานแบบ “เงียบเชียบ” โดยแทรกตัวเข้าไปในเบราว์เซอร์ของผู้ใช้ผ่านโค้ด JavaScript ที่ถูกฝังไว้ในแพ็กเกจ เมื่อผู้ใช้เข้าเว็บไซต์ที่ใช้แพ็กเกจเหล่านี้ มัลแวร์จะดักจับการทำธุรกรรมคริปโต เช่น Ethereum, Bitcoin, Solana, Tron, Litecoin และ Bitcoin Cash แล้วเปลี่ยนปลายทางของธุรกรรมไปยังกระเป๋าเงินของแฮกเกอร์ โดยที่ผู้ใช้ไม่รู้ตัวเลย
เบื้องหลังการโจมตีนี้คือการหลอกลวงผ่านอีเมลฟิชชิ่งที่ปลอมตัวเป็นทีมสนับสนุนของ npm โดยส่งข้อความแจ้งเตือนให้ผู้ดูแลแพ็กเกจอัปเดตการยืนยันตัวตนแบบสองขั้นตอน (2FA) มิฉะนั้นบัญชีจะถูกล็อก ผลคือผู้ดูแลชื่อดังอย่าง Josh Junon (Qix-) เผลอให้สิทธิ์เข้าถึงบัญชีของตน และแฮกเกอร์ก็ใช้ช่องทางนี้ในการปล่อยมัลแวร์
สิ่งที่น่ากลัวคือ มัลแวร์นี้ไม่เพียงแค่เปลี่ยนปลายทางธุรกรรม แต่ยังสามารถดัดแปลง API, ปลอมแปลงข้อมูลที่แสดงบนหน้าจอ และหลอกให้ผู้ใช้เซ็นธุรกรรมที่ถูกเปลี่ยนแปลงแล้ว โดยที่อินเทอร์เฟซยังดูเหมือนปกติทุกประการ
✅ การโจมตีแบบ supply chain ผ่าน npm
➡️ เกิดขึ้นเมื่อวันที่ 8 กันยายน 2025
➡️ แพ็กเกจที่ถูกฝังมัลแวร์มีมากถึง 18 รายการ เช่น chalk, debug, strip-ansi
➡️ รวมกันมีการดาวน์โหลดมากกว่า 2.6 พันล้านครั้งต่อสัปดาห์
➡️ มัลแวร์ถูกฝังในไฟล์ index.js ของแพ็กเกจ
➡️ โค้ดมีการ obfuscate เพื่อหลบเลี่ยงการตรวจจับ
➡️ มัลแวร์ทำงานโดยดักจับข้อมูลจาก window.ethereum และ API อื่นๆ
➡️ เปลี่ยนปลายทางธุรกรรมไปยังกระเป๋าเงินของแฮกเกอร์
➡️ ใช้เทคนิค string-matching เพื่อแทนที่ address ด้วย address ปลอมที่คล้ายกัน
➡️ แฮกเกอร์ใช้ phishing email จากโดเมนปลอม npmjs.help เพื่อหลอกผู้ดูแลแพ็กเกจ
✅ ผลกระทบต่อระบบนิเวศ
➡️ แพ็กเกจเหล่านี้ถูกใช้ในหลายโปรเจกต์ทั่วโลก รวมถึง Babel, ESLint และอื่นๆ
➡️ อาจมีแอปพลิเคชันจำนวนมากที่ถูกอัปเดตไปยังเวอร์ชันที่มีมัลแวร์โดยไม่รู้ตัว
➡️ นักพัฒนาควรตรวจสอบ dependency tree ของโปรเจกต์ตนเองทันที
https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
0 Comments
0 Shares
61 Views
0 Reviews
Thai