พบแพกเกจ npm สี่ตัว มีการซุกมัลแวร์ขโมยข้อมูล และ Phantom Bot ไว้

เผยแพร่: 12 มิถุนายน 2569 เวลา 01:58 น.เขียนโดย Annonymus TN

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer และมัลแวร์ประเภทแปลงเครื่องของเหยื่อให้เป็นหนึ่งในเครือข่ายการโจมตีระบบที่ใหญ่กว่า หรือ Botnet แฝงตัวอยู่ในแพ็คเกจแบบ NPM มากถึง 4 ตัว โดยทั้ง 4 แพ็คเกจนั้นมีรายชื่อดังนี้

chalk-tempalte (มีผู้ดาวน์โหลด 825 ราย)

@deadcode09284814/axios-util (มีผู้ดาวน์โหลด 284 ราย)

axois-utils (มีผู้ดาวน์โหลด 963 ราย)

color-style-utils (มีผู้ดาวน์โหลด 934 ราย)

ซึ่งทางทีมวิจัยจาก OX Security บริษัทผู้เชี่ยวชาญด้านการจัดการความปลอดภัยไซเบอร์ กล่าวว่า ทั้ง 4 ตัวนั้นมีมัลแวร์ซ่อนอยู่ต่างกัน นั่นคือ

Axois-utils มีมัลแวร์แบบ Botnet ที่ถูกเขียนขึ้นด้วยภาษา Golang ชื่อ Phantom Bot โดยมัลแวร์ตัวนี้มีความสามารถในการใช้เครื่องชองเหยื่อเป็นหนึ่งในเครือข่ายโจมตีระบบที่ใหญ่กว่าให้ล่มด้วยวิธีการ DDoS (Distribute Denial-of-Service) ด้วยวิธีการระดมยิง (Flood) เว็บไซต์เป้าหมายผ่านโปรโตคอล HTTP, TCP, และ UDP นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการคงทนอยู่บนระบบของเหยื่อ (Persistence) ด้วยการวางไฟล์มัลแวร์ (Payload) ไว้ในโฟลเดอร์ Windows Startup

chalk-tempalte มีการฝังมัลแวร์ Infostealer ซึ่งเป็นมัลแวร์ตัวโคลน (Clone) มาจากมัลแวร์ Shai-Hulud Worm มัลแวร์แบบ Infostealer ที่สามารถแพร่กระจายตัวเองไปยังแพ็คเกจซอฟต์แวร์ตัวอื่น ๆ ของนักพัฒนาซอฟต์แวร์ที่เครื่องถูกมัลแวร์ฝังตัว ด้วยการยึดบัญชีของผู้พัฒนา (Developer Account) แล้วฝังตัวเองลงไปในแพ็คเกจทุกตัว ซึ่งเป็นการโจมตีแบบการโจมตีห่วงโซ่อุปทาน หรือ Supply Chain Attack ทำให้มัลแวร์ตัวนี้ถูกเรียกอีกอย่างว่าเป็น Self-Propagating Software Supply Chain Malware ในส่วนของความสามารถในการขโมยข้อมูลนั้น ข้อมูลทั้งหมดจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุม C2 (Command and Control) ที่ตั้งอยู่ที่ 87e0bbc636999b.lhr[.]life

"@deadcode09284814/axios-util" และ "color-style-utils" จะเป็นมัลแวร์แบบ Infostealer ที่มีฟังก์ชันการขโมยข้อมูลเหมือนกับตัวอื่น ๆ ทั่วไป เช่น ความสามารถในการขโมยรหัสผ่านสำหรับการเข้าใช้งานระบบคลาวด์, กุญแจ SSH, ตัวแปรของสภาพแวดล้อม (Environment Variables), ข้อมูลของระบบของเหยื่อ, หมายเลขไอพี, และข้อมูลเกี่ยวกับกระเป๋าเงินคริปโตเคอร์เรนซี (Crypto Wallet) แล้วส่งไปยังเซิร์ฟเวอร์ C2 ที่ตั้งอยู่บน "80.200.28[.]28:2222" และ "edcf8b03c84634.lhr[.]life" ตามลำดับ

ทีมวิจัยแนะนำว่า ถ้าผู้อ่านรายใดเผลอทำการดาวน์โหลดแพ็คเกจเหล่านี้และทำการติดตั้งไปแล้ว ให้ทำการตรวจสอบหาการตั้งค่า (Configuration) บน IDEs และ Coding Agents เช่น Claude Code แล้วลบการตั้งค่านั้นทิ้ง, เปลี่ยนรหัส Secrets, และตรวจสอบ Repo บน Github ที่ผู้อ่านใช้งานอยู่เพื่อหาว่ามีค่าสตริงของมัลแวร์ว่า "A Mini Sha1-Hulud has Appeared" หรือไม่ แล้วจัดการบล็อกโดเมนที่น่าสงสัยว่าเกี่ยวข้องกับมัลแวร์ในทันที

เนื้อหาโดย: Annonymus TN

⚠ แจ้งเนื้อหาไม่เหมาะสม

มีผู้เข้าชมแล้ว 11 ครั้ง
เขียนโดย Annonymus TN

นักข่าวสายอาชญากรรมไซเบอร์และเทคโนโลยี เชี่ยวชาญการรายงานภัยออนไลน์ เช่น มัลแวร์ การหลอกลวง และการใช้ AI ในทางผิด โดยนำเสนอข้อมูลที่ซับซ้อนให้เข้าใจง่าย กระชับ และตรงประเด็น เพื่อให้ผู้อ่านรู้ทันภัยดิจิทัลก่อนตกเป็นเ

เป็นกำลังใจให้เจ้าของกระทู้โดยการ VOTE และ SHARE

Hot Topic ที่น่าสนใจอื่นๆ