การโจมตีซัพพลายเชนครั้งประวัติศาสตร์ใน npm Registry
นักวิจัยจาก Amazon Inspector เปิดเผยว่า มีการเผยแพร่แพ็กเกจ npm ที่เป็นอันตรายกว่า 150,000 รายการในช่วงเดือนตุลาคม–พฤศจิกายน 2025 โดยทั้งหมดถูกสร้างขึ้นเพื่อใช้ประโยชน์จากระบบรางวัลของ tea.xyz ไม่ใช่เพื่อแพร่มัลแวร์แบบดั้งเดิม แต่เพื่อทำกำไรจากการปลอมตัวเป็นการมีส่วนร่วมในระบบ open-source
สิ่งที่ทำให้เหตุการณ์นี้แตกต่างคือ แพ็กเกจเหล่านี้ไม่มีฟังก์ชันการทำงานจริง แต่ถูกสร้างขึ้นโดย automation tools ที่สามารถทำซ้ำตัวเองได้ และฝังไฟล์ tea.yaml เพื่อเชื่อมโยงกับกระเป๋าเงิน blockchain ของผู้โจมตี การโจมตีนี้จึงไม่ใช่การขโมยข้อมูลหรือการฝัง backdoor แต่เป็นการ pollution ของ ecosystem ที่ทำให้คุณภาพของ npm registry ลดลงอย่างมาก
นักวิจัยยังพบว่า ผู้โจมตีใช้วิธีการเผยแพร่แพ็กเกจจำนวนมหาศาลจากหลายบัญชีในเวลาใกล้เคียงกัน เพื่อสร้าง dependency chains ที่ทำให้ระบบตรวจสอบยากขึ้น และเพิ่มคะแนนการมีส่วนร่วมในระบบ tea.xyz อย่างผิดปกติ การโจมตีนี้จึงเป็นการใช้ช่องโหว่ของระบบรางวัล blockchain เพื่อสร้างรายได้ โดยไม่ต้องสร้างซอฟต์แวร์จริง
ผลกระทบที่ตามมาคือ ความเสี่ยงต่อการเกิด dependency confusion และความไม่เสถียรของ ecosystem แม้แพ็กเกจจะไม่เป็นมัลแวร์โดยตรง แต่การมีอยู่ของมันจำนวนมหาศาลทำให้ผู้พัฒนาซอฟต์แวร์อาจเผลอใช้งาน และเกิดความผิดพลาดในการ build หรือ deploy ระบบ นอกจากนี้ยังเป็นการเปิดประตูให้ผู้โจมตีรายอื่นเลียนแบบแนวทางนี้ต่อไป
สรุปประเด็นสำคัญ
การค้นพบครั้งใหญ่
พบแพ็กเกจ npm ที่เป็นอันตรายกว่า 150,000 รายการ
ถูกสร้างขึ้นเพื่อทำ token farming บน tea.xyz
วิธีการโจมตี
ใช้ automation tools สร้างแพ็กเกจซ้ำตัวเอง
ฝัง tea.yaml เชื่อมโยงกับ blockchain wallets
เผยแพร่จากหลายบัญชีพร้อมกันเพื่อสร้าง dependency chains
ผลกระทบต่อ ecosystem
ทำให้เกิด registry pollution ลดคุณภาพของ npm
เสี่ยงต่อ dependency confusion และความไม่เสถียรของระบบ
คำเตือนและความเสี่ยง
แม้ไม่ใช่มัลแวร์ แต่แพ็กเกจเหล่านี้อาจทำให้ระบบ build ล้มเหลว
การโจมตีเชิงการเงินแบบนี้อาจกลายเป็นแนวทางใหม่ที่ผู้โจมตีรายอื่นเลียนแบบ
ผู้พัฒนาควรตรวจสอบ dependency อย่างเข้มงวด และใช้เครื่องมือสแกนความปลอดภัยเสมอ
https://securityonline.info/record-supply-chain-attack-150000-malicious-npm-packages-flooded-registry-for-token-farming-rewards/
นักวิจัยจาก Amazon Inspector เปิดเผยว่า มีการเผยแพร่แพ็กเกจ npm ที่เป็นอันตรายกว่า 150,000 รายการในช่วงเดือนตุลาคม–พฤศจิกายน 2025 โดยทั้งหมดถูกสร้างขึ้นเพื่อใช้ประโยชน์จากระบบรางวัลของ tea.xyz ไม่ใช่เพื่อแพร่มัลแวร์แบบดั้งเดิม แต่เพื่อทำกำไรจากการปลอมตัวเป็นการมีส่วนร่วมในระบบ open-source
สิ่งที่ทำให้เหตุการณ์นี้แตกต่างคือ แพ็กเกจเหล่านี้ไม่มีฟังก์ชันการทำงานจริง แต่ถูกสร้างขึ้นโดย automation tools ที่สามารถทำซ้ำตัวเองได้ และฝังไฟล์ tea.yaml เพื่อเชื่อมโยงกับกระเป๋าเงิน blockchain ของผู้โจมตี การโจมตีนี้จึงไม่ใช่การขโมยข้อมูลหรือการฝัง backdoor แต่เป็นการ pollution ของ ecosystem ที่ทำให้คุณภาพของ npm registry ลดลงอย่างมาก
นักวิจัยยังพบว่า ผู้โจมตีใช้วิธีการเผยแพร่แพ็กเกจจำนวนมหาศาลจากหลายบัญชีในเวลาใกล้เคียงกัน เพื่อสร้าง dependency chains ที่ทำให้ระบบตรวจสอบยากขึ้น และเพิ่มคะแนนการมีส่วนร่วมในระบบ tea.xyz อย่างผิดปกติ การโจมตีนี้จึงเป็นการใช้ช่องโหว่ของระบบรางวัล blockchain เพื่อสร้างรายได้ โดยไม่ต้องสร้างซอฟต์แวร์จริง
ผลกระทบที่ตามมาคือ ความเสี่ยงต่อการเกิด dependency confusion และความไม่เสถียรของ ecosystem แม้แพ็กเกจจะไม่เป็นมัลแวร์โดยตรง แต่การมีอยู่ของมันจำนวนมหาศาลทำให้ผู้พัฒนาซอฟต์แวร์อาจเผลอใช้งาน และเกิดความผิดพลาดในการ build หรือ deploy ระบบ นอกจากนี้ยังเป็นการเปิดประตูให้ผู้โจมตีรายอื่นเลียนแบบแนวทางนี้ต่อไป
สรุปประเด็นสำคัญ
การค้นพบครั้งใหญ่
พบแพ็กเกจ npm ที่เป็นอันตรายกว่า 150,000 รายการ
ถูกสร้างขึ้นเพื่อทำ token farming บน tea.xyz
วิธีการโจมตี
ใช้ automation tools สร้างแพ็กเกจซ้ำตัวเอง
ฝัง tea.yaml เชื่อมโยงกับ blockchain wallets
เผยแพร่จากหลายบัญชีพร้อมกันเพื่อสร้าง dependency chains
ผลกระทบต่อ ecosystem
ทำให้เกิด registry pollution ลดคุณภาพของ npm
เสี่ยงต่อ dependency confusion และความไม่เสถียรของระบบ
คำเตือนและความเสี่ยง
แม้ไม่ใช่มัลแวร์ แต่แพ็กเกจเหล่านี้อาจทำให้ระบบ build ล้มเหลว
การโจมตีเชิงการเงินแบบนี้อาจกลายเป็นแนวทางใหม่ที่ผู้โจมตีรายอื่นเลียนแบบ
ผู้พัฒนาควรตรวจสอบ dependency อย่างเข้มงวด และใช้เครื่องมือสแกนความปลอดภัยเสมอ
https://securityonline.info/record-supply-chain-attack-150000-malicious-npm-packages-flooded-registry-for-token-farming-rewards/
🚨 การโจมตีซัพพลายเชนครั้งประวัติศาสตร์ใน npm Registry
นักวิจัยจาก Amazon Inspector เปิดเผยว่า มีการเผยแพร่แพ็กเกจ npm ที่เป็นอันตรายกว่า 150,000 รายการในช่วงเดือนตุลาคม–พฤศจิกายน 2025 โดยทั้งหมดถูกสร้างขึ้นเพื่อใช้ประโยชน์จากระบบรางวัลของ tea.xyz ไม่ใช่เพื่อแพร่มัลแวร์แบบดั้งเดิม แต่เพื่อทำกำไรจากการปลอมตัวเป็นการมีส่วนร่วมในระบบ open-source
สิ่งที่ทำให้เหตุการณ์นี้แตกต่างคือ แพ็กเกจเหล่านี้ไม่มีฟังก์ชันการทำงานจริง แต่ถูกสร้างขึ้นโดย automation tools ที่สามารถทำซ้ำตัวเองได้ และฝังไฟล์ tea.yaml เพื่อเชื่อมโยงกับกระเป๋าเงิน blockchain ของผู้โจมตี การโจมตีนี้จึงไม่ใช่การขโมยข้อมูลหรือการฝัง backdoor แต่เป็นการ pollution ของ ecosystem ที่ทำให้คุณภาพของ npm registry ลดลงอย่างมาก
นักวิจัยยังพบว่า ผู้โจมตีใช้วิธีการเผยแพร่แพ็กเกจจำนวนมหาศาลจากหลายบัญชีในเวลาใกล้เคียงกัน เพื่อสร้าง dependency chains ที่ทำให้ระบบตรวจสอบยากขึ้น และเพิ่มคะแนนการมีส่วนร่วมในระบบ tea.xyz อย่างผิดปกติ การโจมตีนี้จึงเป็นการใช้ช่องโหว่ของระบบรางวัล blockchain เพื่อสร้างรายได้ โดยไม่ต้องสร้างซอฟต์แวร์จริง
ผลกระทบที่ตามมาคือ ความเสี่ยงต่อการเกิด dependency confusion และความไม่เสถียรของ ecosystem แม้แพ็กเกจจะไม่เป็นมัลแวร์โดยตรง แต่การมีอยู่ของมันจำนวนมหาศาลทำให้ผู้พัฒนาซอฟต์แวร์อาจเผลอใช้งาน และเกิดความผิดพลาดในการ build หรือ deploy ระบบ นอกจากนี้ยังเป็นการเปิดประตูให้ผู้โจมตีรายอื่นเลียนแบบแนวทางนี้ต่อไป
📌 สรุปประเด็นสำคัญ
✅ การค้นพบครั้งใหญ่
➡️ พบแพ็กเกจ npm ที่เป็นอันตรายกว่า 150,000 รายการ
➡️ ถูกสร้างขึ้นเพื่อทำ token farming บน tea.xyz
✅ วิธีการโจมตี
➡️ ใช้ automation tools สร้างแพ็กเกจซ้ำตัวเอง
➡️ ฝัง tea.yaml เชื่อมโยงกับ blockchain wallets
➡️ เผยแพร่จากหลายบัญชีพร้อมกันเพื่อสร้าง dependency chains
✅ ผลกระทบต่อ ecosystem
➡️ ทำให้เกิด registry pollution ลดคุณภาพของ npm
➡️ เสี่ยงต่อ dependency confusion และความไม่เสถียรของระบบ
‼️ คำเตือนและความเสี่ยง
⛔ แม้ไม่ใช่มัลแวร์ แต่แพ็กเกจเหล่านี้อาจทำให้ระบบ build ล้มเหลว
⛔ การโจมตีเชิงการเงินแบบนี้อาจกลายเป็นแนวทางใหม่ที่ผู้โจมตีรายอื่นเลียนแบบ
⛔ ผู้พัฒนาควรตรวจสอบ dependency อย่างเข้มงวด และใช้เครื่องมือสแกนความปลอดภัยเสมอ
https://securityonline.info/record-supply-chain-attack-150000-malicious-npm-packages-flooded-registry-for-token-farming-rewards/
0 ความคิดเห็น
0 การแบ่งปัน
26 มุมมอง
0 รีวิว
English