Vidar Infostealer บุกโลกนักพัฒนา: npm กลายเป็นช่องทางใหม่ของภัยไซเบอร์
นักวิจัยจาก Datadog Security Research ได้เปิดเผยแคมเปญโจมตีแบบ supply-chain ที่อันตรายที่สุดครั้งหนึ่งในระบบนิเวศของ npm โดยมีการปล่อยมัลแวร์ Vidar Infostealer ผ่าน 17 แพ็กเกจปลอม ที่ถูก typosquat ให้ดูคล้ายกับแพ็กเกจยอดนิยม เช่น Telegram bot helper, icon libraries และ forks ของ Cursor และ React
แพ็กเกจเหล่านี้ถูกเผยแพร่โดยบัญชี npm ใหม่สองบัญชีคือ aartje และ saliii229911 และมีการดาวน์โหลดไปแล้วกว่า 2,240 ครั้งก่อนถูกตรวจพบ
สิ่งที่ทำให้การโจมตีนี้ร้ายแรงคือการใช้ postinstall script ซึ่งจะรันโดยอัตโนมัติหลังจากติดตั้งแพ็กเกจ โดยสคริปต์นี้จะดาวน์โหลด ZIP ที่เข้ารหัสจากโดเมน bullethost[.]cloud และแตกไฟล์เพื่อรัน binary ที่ชื่อ bridle.exe ซึ่งเป็นมัลแวร์ Vidar รุ่นใหม่ที่เขียนด้วยภาษา Go
เสริมความรู้: Vidar Infostealer คืออะไร?
Vidar เป็นมัลแวร์ประเภท infostealer ที่สามารถขโมยข้อมูลสำคัญจากเครื่อง Windows เช่น:
รหัสผ่านและคุกกี้จากเบราว์เซอร์
กระเป๋าเงินคริปโต
ไฟล์ระบบ
รุ่นล่าสุดของ Vidar ใช้เทคนิคใหม่ในการค้นหาเซิร์ฟเวอร์ควบคุม (C2) โดยเชื่อมต่อกับบัญชี Telegram และ Steam ที่มีการหมุนโดเมนผ่านชื่อผู้ใช้และคำอธิบาย
ลักษณะการโจมตี
ใช้แพ็กเกจปลอมใน npm ที่ดูคล้ายของจริง
ใช้ postinstall script เพื่อรันมัลแวร์โดยอัตโนมัติ
ดาวน์โหลด ZIP ที่เข้ารหัสจากโดเมนปลอม
แตกไฟล์และรัน bridle.exe ซึ่งเป็น Vidar Infostealer
ความสามารถของ Vidar
ขโมยข้อมูลจากเบราว์เซอร์และระบบ
ใช้ Telegram และ Steam เป็นช่องทาง C2
ลบตัวเองหลังจากขโมยข้อมูลเพื่อหลบการตรวจจับ
การตรวจพบและตอบสนอง
ใช้เครื่องมือ GuardDog ของ Datadog ตรวจพบ npm-install-script
npm ได้แบนบัญชีผู้เผยแพร่และแทนแพ็กเกจด้วย security holding packages
ความเสี่ยงต่อผู้พัฒนา
ผู้ใช้ npm ที่ติดตั้งแพ็กเกจปลอมอาจถูกขโมยข้อมูลทันที
การใช้ postinstall script ทำให้การโจมตีเกิดขึ้นโดยไม่ต้องเปิดไฟล์ใดๆ
คำแนะนำด้านความปลอดภัย
หลีกเลี่ยงการติดตั้งแพ็กเกจจากบัญชีที่ไม่รู้จัก
ตรวจสอบแพ็กเกจ npm ว่ามี postinstall script หรือไม่
ใช้ static analyzer เช่น GuardDog เพื่อป้องกันการโจมตี
https://securityonline.info/vidar-infostealer-hits-npm-for-the-first-time-via-17-typosquatted-packages-and-postinstall-scripts/
นักวิจัยจาก Datadog Security Research ได้เปิดเผยแคมเปญโจมตีแบบ supply-chain ที่อันตรายที่สุดครั้งหนึ่งในระบบนิเวศของ npm โดยมีการปล่อยมัลแวร์ Vidar Infostealer ผ่าน 17 แพ็กเกจปลอม ที่ถูก typosquat ให้ดูคล้ายกับแพ็กเกจยอดนิยม เช่น Telegram bot helper, icon libraries และ forks ของ Cursor และ React
แพ็กเกจเหล่านี้ถูกเผยแพร่โดยบัญชี npm ใหม่สองบัญชีคือ aartje และ saliii229911 และมีการดาวน์โหลดไปแล้วกว่า 2,240 ครั้งก่อนถูกตรวจพบ
สิ่งที่ทำให้การโจมตีนี้ร้ายแรงคือการใช้ postinstall script ซึ่งจะรันโดยอัตโนมัติหลังจากติดตั้งแพ็กเกจ โดยสคริปต์นี้จะดาวน์โหลด ZIP ที่เข้ารหัสจากโดเมน bullethost[.]cloud และแตกไฟล์เพื่อรัน binary ที่ชื่อ bridle.exe ซึ่งเป็นมัลแวร์ Vidar รุ่นใหม่ที่เขียนด้วยภาษา Go
เสริมความรู้: Vidar Infostealer คืออะไร?
Vidar เป็นมัลแวร์ประเภท infostealer ที่สามารถขโมยข้อมูลสำคัญจากเครื่อง Windows เช่น:
รหัสผ่านและคุกกี้จากเบราว์เซอร์
กระเป๋าเงินคริปโต
ไฟล์ระบบ
รุ่นล่าสุดของ Vidar ใช้เทคนิคใหม่ในการค้นหาเซิร์ฟเวอร์ควบคุม (C2) โดยเชื่อมต่อกับบัญชี Telegram และ Steam ที่มีการหมุนโดเมนผ่านชื่อผู้ใช้และคำอธิบาย
ลักษณะการโจมตี
ใช้แพ็กเกจปลอมใน npm ที่ดูคล้ายของจริง
ใช้ postinstall script เพื่อรันมัลแวร์โดยอัตโนมัติ
ดาวน์โหลด ZIP ที่เข้ารหัสจากโดเมนปลอม
แตกไฟล์และรัน bridle.exe ซึ่งเป็น Vidar Infostealer
ความสามารถของ Vidar
ขโมยข้อมูลจากเบราว์เซอร์และระบบ
ใช้ Telegram และ Steam เป็นช่องทาง C2
ลบตัวเองหลังจากขโมยข้อมูลเพื่อหลบการตรวจจับ
การตรวจพบและตอบสนอง
ใช้เครื่องมือ GuardDog ของ Datadog ตรวจพบ npm-install-script
npm ได้แบนบัญชีผู้เผยแพร่และแทนแพ็กเกจด้วย security holding packages
ความเสี่ยงต่อผู้พัฒนา
ผู้ใช้ npm ที่ติดตั้งแพ็กเกจปลอมอาจถูกขโมยข้อมูลทันที
การใช้ postinstall script ทำให้การโจมตีเกิดขึ้นโดยไม่ต้องเปิดไฟล์ใดๆ
คำแนะนำด้านความปลอดภัย
หลีกเลี่ยงการติดตั้งแพ็กเกจจากบัญชีที่ไม่รู้จัก
ตรวจสอบแพ็กเกจ npm ว่ามี postinstall script หรือไม่
ใช้ static analyzer เช่น GuardDog เพื่อป้องกันการโจมตี
https://securityonline.info/vidar-infostealer-hits-npm-for-the-first-time-via-17-typosquatted-packages-and-postinstall-scripts/
🧪 Vidar Infostealer บุกโลกนักพัฒนา: npm กลายเป็นช่องทางใหม่ของภัยไซเบอร์
นักวิจัยจาก Datadog Security Research ได้เปิดเผยแคมเปญโจมตีแบบ supply-chain ที่อันตรายที่สุดครั้งหนึ่งในระบบนิเวศของ npm โดยมีการปล่อยมัลแวร์ Vidar Infostealer ผ่าน 17 แพ็กเกจปลอม ที่ถูก typosquat ให้ดูคล้ายกับแพ็กเกจยอดนิยม เช่น Telegram bot helper, icon libraries และ forks ของ Cursor และ React
แพ็กเกจเหล่านี้ถูกเผยแพร่โดยบัญชี npm ใหม่สองบัญชีคือ aartje และ saliii229911 และมีการดาวน์โหลดไปแล้วกว่า 2,240 ครั้งก่อนถูกตรวจพบ
สิ่งที่ทำให้การโจมตีนี้ร้ายแรงคือการใช้ postinstall script ซึ่งจะรันโดยอัตโนมัติหลังจากติดตั้งแพ็กเกจ โดยสคริปต์นี้จะดาวน์โหลด ZIP ที่เข้ารหัสจากโดเมน bullethost[.]cloud และแตกไฟล์เพื่อรัน binary ที่ชื่อ bridle.exe ซึ่งเป็นมัลแวร์ Vidar รุ่นใหม่ที่เขียนด้วยภาษา Go
🧠 เสริมความรู้: Vidar Infostealer คืออะไร?
Vidar เป็นมัลแวร์ประเภท infostealer ที่สามารถขโมยข้อมูลสำคัญจากเครื่อง Windows เช่น:
💠 รหัสผ่านและคุกกี้จากเบราว์เซอร์
💠 กระเป๋าเงินคริปโต
💠 ไฟล์ระบบ
รุ่นล่าสุดของ Vidar ใช้เทคนิคใหม่ในการค้นหาเซิร์ฟเวอร์ควบคุม (C2) โดยเชื่อมต่อกับบัญชี Telegram และ Steam ที่มีการหมุนโดเมนผ่านชื่อผู้ใช้และคำอธิบาย
✅ ลักษณะการโจมตี
➡️ ใช้แพ็กเกจปลอมใน npm ที่ดูคล้ายของจริง
➡️ ใช้ postinstall script เพื่อรันมัลแวร์โดยอัตโนมัติ
➡️ ดาวน์โหลด ZIP ที่เข้ารหัสจากโดเมนปลอม
➡️ แตกไฟล์และรัน bridle.exe ซึ่งเป็น Vidar Infostealer
✅ ความสามารถของ Vidar
➡️ ขโมยข้อมูลจากเบราว์เซอร์และระบบ
➡️ ใช้ Telegram และ Steam เป็นช่องทาง C2
➡️ ลบตัวเองหลังจากขโมยข้อมูลเพื่อหลบการตรวจจับ
✅ การตรวจพบและตอบสนอง
➡️ ใช้เครื่องมือ GuardDog ของ Datadog ตรวจพบ npm-install-script
➡️ npm ได้แบนบัญชีผู้เผยแพร่และแทนแพ็กเกจด้วย security holding packages
‼️ ความเสี่ยงต่อผู้พัฒนา
⛔ ผู้ใช้ npm ที่ติดตั้งแพ็กเกจปลอมอาจถูกขโมยข้อมูลทันที
⛔ การใช้ postinstall script ทำให้การโจมตีเกิดขึ้นโดยไม่ต้องเปิดไฟล์ใดๆ
‼️ คำแนะนำด้านความปลอดภัย
⛔ หลีกเลี่ยงการติดตั้งแพ็กเกจจากบัญชีที่ไม่รู้จัก
⛔ ตรวจสอบแพ็กเกจ npm ว่ามี postinstall script หรือไม่
⛔ ใช้ static analyzer เช่น GuardDog เพื่อป้องกันการโจมตี
https://securityonline.info/vidar-infostealer-hits-npm-for-the-first-time-via-17-typosquatted-packages-and-postinstall-scripts/
0 Comments
0 Shares
28 Views
0 Reviews
Thai