PhantomRaven: มัลแวร์ npm สุดแสบที่ขโมยข้อมูลนักพัฒนาแบบแนบเนียน
แคมเปญมัลแวร์ PhantomRaven แอบแฝงใน npm ด้วยแพ็กเกจปลอมกว่า 126 รายการ ใช้เทคนิคลับ Remote Dynamic Dependency เพื่อขโมยโทเคนและข้อมูลลับของนักพัฒนาโดยไม่ถูกตรวจจับ
ตั้งแต่เดือนสิงหาคม 2025 แคมเปญมัลแวร์ชื่อ PhantomRaven ได้แอบปล่อยแพ็กเกจ npm ปลอมกว่า 126 รายการ ซึ่งถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง จุดประสงค์หลักคือขโมยข้อมูลลับของนักพัฒนา เช่น GitHub credentials, CI/CD tokens และ npm authentication tokens
สิ่งที่ทำให้ PhantomRaven อันตรายคือการใช้ฟีเจอร์ Remote Dynamic Dependency (RDD) ซึ่งอนุญาตให้แพ็กเกจ npm ดึง dependencies จาก URL ภายนอก แทนที่จะใช้ registry ปกติ ทำให้เครื่องมือสแกนความปลอดภัยมองว่าแพ็กเกจเหล่านี้ “ไม่มี dependencies” และปลอดภัย ทั้งที่จริงแล้วโค้ดอันตรายจะถูกดึงมาและรันทันทีเมื่อผู้ใช้ติดตั้ง
แพ็กเกจปลอมเหล่านี้มักมีชื่อคล้ายของจริง เช่น eslint-comments (จริงคือ eslint-plugin-eslint-comments) หรือ unused-imports (จริงคือ eslint-plugin-unused-imports) ซึ่งถูกออกแบบมาให้ AI แนะนำโดยผิดพลาดเมื่อผู้ใช้ถามหาแพ็กเกจในแชตบอตหรือ Copilot
เมื่อโค้ดรัน มัลแวร์จะเริ่มเก็บข้อมูลจากไฟล์ .gitconfig, .npmrc, package.json รวมถึงสแกนหาโทเคนจาก GitHub Actions, GitLab, Jenkins และ CircleCI จากนั้นจะส่งข้อมูลออกผ่าน HTTP GET, POST และ WebSocket เพื่อให้แน่ใจว่าข้อมูลจะหลุดออกไปแม้ในเครือข่ายที่มีไฟร์วอลล์
PhantomRaven คือแคมเปญมัลแวร์ใน npm
ปล่อยแพ็กเกจปลอมกว่า 126 รายการ
ถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง
เริ่มต้นในเดือนสิงหาคม 2025 และยังมีแพ็กเกจที่ยังไม่ถูกลบ
เทคนิค Remote Dynamic Dependency (RDD)
ดึงโค้ดจาก URL ภายนอกแทน registry
ทำให้เครื่องมือสแกนมองว่าไม่มี dependencies
โค้ดอันตรายจะรันทันทีเมื่อติดตั้งผ่าน preinstall script
ข้อมูลที่มัลแวร์พยายามขโมย
อีเมลและข้อมูลจากไฟล์ config
โทเคนจาก GitHub, GitLab, Jenkins, CircleCI
ข้อมูลระบบ เช่น IP, hostname, OS, username
ช่องทางการส่งข้อมูลออก
HTTP GET (ฝังข้อมูลใน URL)
HTTP POST (ส่ง JSON payload)
WebSocket (ใช้ในเครือข่ายที่มีข้อจำกัด)
ความเสี่ยงจากแพ็กเกจปลอม
ชื่อคล้ายของจริง ทำให้ AI แนะนำผิด
ผู้ใช้ติดตั้งโดยไม่รู้ว่าเป็นมัลแวร์
โค้ดดูเหมือน harmless เช่น console.log('Hello, world!') แต่แฝง payload จริงไว้ภายนอก
ความเสี่ยงต่อระบบ CI/CD และข้อมูลลับ
โทเคนและ credentials ถูกขโมยโดยไม่รู้ตัว
ส่งผลกระทบต่อระบบอัตโนมัติและการ deploy
อาจถูกใช้เพื่อเจาะระบบองค์กรหรือ cloud infrastructure
เกร็ดน่ารู้เพิ่มเติม
Remote Dynamic Dependency เป็นฟีเจอร์ที่แทบไม่มีใครใช้ เพราะเสี่ยงต่อความปลอดภัยสูง
Slopsquatting คือเทคนิคใหม่ที่ใช้ AI สร้างชื่อแพ็กเกจปลอมที่ “ดูเหมือนจริง” เพื่อหลอกให้ผู้ใช้ติดตั้ง
นักพัฒนาควรใช้เครื่องมือเช่น npm audit, Snyk, หรือ Socket.dev เพื่อตรวจสอบความปลอดภัยของแพ็กเกจ
https://securityonline.info/phantomraven-126-malicious-npm-packages-steal-developer-tokens-and-secrets-using-hidden-dependencies/🚨 PhantomRaven: มัลแวร์ npm สุดแสบที่ขโมยข้อมูลนักพัฒนาแบบแนบเนียน
แคมเปญมัลแวร์ PhantomRaven แอบแฝงใน npm ด้วยแพ็กเกจปลอมกว่า 126 รายการ ใช้เทคนิคลับ Remote Dynamic Dependency เพื่อขโมยโทเคนและข้อมูลลับของนักพัฒนาโดยไม่ถูกตรวจจับ
ตั้งแต่เดือนสิงหาคม 2025 แคมเปญมัลแวร์ชื่อ PhantomRaven ได้แอบปล่อยแพ็กเกจ npm ปลอมกว่า 126 รายการ ซึ่งถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง จุดประสงค์หลักคือขโมยข้อมูลลับของนักพัฒนา เช่น GitHub credentials, CI/CD tokens และ npm authentication tokens
สิ่งที่ทำให้ PhantomRaven อันตรายคือการใช้ฟีเจอร์ Remote Dynamic Dependency (RDD) ซึ่งอนุญาตให้แพ็กเกจ npm ดึง dependencies จาก URL ภายนอก แทนที่จะใช้ registry ปกติ ทำให้เครื่องมือสแกนความปลอดภัยมองว่าแพ็กเกจเหล่านี้ “ไม่มี dependencies” และปลอดภัย ทั้งที่จริงแล้วโค้ดอันตรายจะถูกดึงมาและรันทันทีเมื่อผู้ใช้ติดตั้ง
แพ็กเกจปลอมเหล่านี้มักมีชื่อคล้ายของจริง เช่น eslint-comments (จริงคือ eslint-plugin-eslint-comments) หรือ unused-imports (จริงคือ eslint-plugin-unused-imports) ซึ่งถูกออกแบบมาให้ AI แนะนำโดยผิดพลาดเมื่อผู้ใช้ถามหาแพ็กเกจในแชตบอตหรือ Copilot
เมื่อโค้ดรัน มัลแวร์จะเริ่มเก็บข้อมูลจากไฟล์ .gitconfig, .npmrc, package.json รวมถึงสแกนหาโทเคนจาก GitHub Actions, GitLab, Jenkins และ CircleCI จากนั้นจะส่งข้อมูลออกผ่าน HTTP GET, POST และ WebSocket เพื่อให้แน่ใจว่าข้อมูลจะหลุดออกไปแม้ในเครือข่ายที่มีไฟร์วอลล์
✅ PhantomRaven คือแคมเปญมัลแวร์ใน npm
➡️ ปล่อยแพ็กเกจปลอมกว่า 126 รายการ
➡️ ถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง
➡️ เริ่มต้นในเดือนสิงหาคม 2025 และยังมีแพ็กเกจที่ยังไม่ถูกลบ
✅ เทคนิค Remote Dynamic Dependency (RDD)
➡️ ดึงโค้ดจาก URL ภายนอกแทน registry
➡️ ทำให้เครื่องมือสแกนมองว่าไม่มี dependencies
➡️ โค้ดอันตรายจะรันทันทีเมื่อติดตั้งผ่าน preinstall script
✅ ข้อมูลที่มัลแวร์พยายามขโมย
➡️ อีเมลและข้อมูลจากไฟล์ config
➡️ โทเคนจาก GitHub, GitLab, Jenkins, CircleCI
➡️ ข้อมูลระบบ เช่น IP, hostname, OS, username
✅ ช่องทางการส่งข้อมูลออก
➡️ HTTP GET (ฝังข้อมูลใน URL)
➡️ HTTP POST (ส่ง JSON payload)
➡️ WebSocket (ใช้ในเครือข่ายที่มีข้อจำกัด)
‼️ ความเสี่ยงจากแพ็กเกจปลอม
⛔ ชื่อคล้ายของจริง ทำให้ AI แนะนำผิด
⛔ ผู้ใช้ติดตั้งโดยไม่รู้ว่าเป็นมัลแวร์
⛔ โค้ดดูเหมือน harmless เช่น console.log('Hello, world!') แต่แฝง payload จริงไว้ภายนอก
‼️ ความเสี่ยงต่อระบบ CI/CD และข้อมูลลับ
⛔ โทเคนและ credentials ถูกขโมยโดยไม่รู้ตัว
⛔ ส่งผลกระทบต่อระบบอัตโนมัติและการ deploy
⛔ อาจถูกใช้เพื่อเจาะระบบองค์กรหรือ cloud infrastructure
🧠 เกร็ดน่ารู้เพิ่มเติม
🎗️ Remote Dynamic Dependency เป็นฟีเจอร์ที่แทบไม่มีใครใช้ เพราะเสี่ยงต่อความปลอดภัยสูง
🎗️ Slopsquatting คือเทคนิคใหม่ที่ใช้ AI สร้างชื่อแพ็กเกจปลอมที่ “ดูเหมือนจริง” เพื่อหลอกให้ผู้ใช้ติดตั้ง
🎗️ นักพัฒนาควรใช้เครื่องมือเช่น npm audit, Snyk, หรือ Socket.dev เพื่อตรวจสอบความปลอดภัยของแพ็กเกจ
https://securityonline.info/phantomraven-126-malicious-npm-packages-steal-developer-tokens-and-secrets-using-hidden-dependencies/
Thai