พบแพกเกจ npm สี่ตัว มีการซุกมัลแวร์ขโมยข้อมูล และ Phantom Bot ไว้
พบแพกเกจ npm สี่ตัว มีการซุกมัลแวร์ขโมยข้อมูล และ Phantom Bot ไว้
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer และมัลแวร์ประเภทแปลงเครื่องของเหยื่อให้เป็นหนึ่งในเครือข่ายการโจมตีระบบที่ใหญ่กว่า หรือ Botnet แฝงตัวอยู่ในแพ็คเกจแบบ NPM มากถึง 4 ตัว โดยทั้ง 4 แพ็คเกจนั้นมีรายชื่อดังนี้
chalk-tempalte (มีผู้ดาวน์โหลด 825 ราย)
@deadcode09284814/axios-util (มีผู้ดาวน์โหลด 284 ราย)
axois-utils (มีผู้ดาวน์โหลด 963 ราย)
color-style-utils (มีผู้ดาวน์โหลด 934 ราย)
ซึ่งทางทีมวิจัยจาก OX Security บริษัทผู้เชี่ยวชาญด้านการจัดการความปลอดภัยไซเบอร์ กล่าวว่า ทั้ง 4 ตัวนั้นมีมัลแวร์ซ่อนอยู่ต่างกัน นั่นคือ
Axois-utils มีมัลแวร์แบบ Botnet ที่ถูกเขียนขึ้นด้วยภาษา Golang ชื่อ Phantom Bot โดยมัลแวร์ตัวนี้มีความสามารถในการใช้เครื่องชองเหยื่อเป็นหนึ่งในเครือข่ายโจมตีระบบที่ใหญ่กว่าให้ล่มด้วยวิธีการ DDoS (Distribute Denial-of-Service) ด้วยวิธีการระดมยิง (Flood) เว็บไซต์เป้าหมายผ่านโปรโตคอล HTTP, TCP, และ UDP นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการคงทนอยู่บนระบบของเหยื่อ (Persistence) ด้วยการวางไฟล์มัลแวร์ (Payload) ไว้ในโฟลเดอร์ Windows Startup
chalk-tempalte มีการฝังมัลแวร์ Infostealer ซึ่งเป็นมัลแวร์ตัวโคลน (Clone) มาจากมัลแวร์ Shai-Hulud Worm มัลแวร์แบบ Infostealer ที่สามารถแพร่กระจายตัวเองไปยังแพ็คเกจซอฟต์แวร์ตัวอื่น ๆ ของนักพัฒนาซอฟต์แวร์ที่เครื่องถูกมัลแวร์ฝังตัว ด้วยการยึดบัญชีของผู้พัฒนา (Developer Account) แล้วฝังตัวเองลงไปในแพ็คเกจทุกตัว ซึ่งเป็นการโจมตีแบบการโจมตีห่วงโซ่อุปทาน หรือ Supply Chain Attack ทำให้มัลแวร์ตัวนี้ถูกเรียกอีกอย่างว่าเป็น Self-Propagating Software Supply Chain Malware ในส่วนของความสามารถในการขโมยข้อมูลนั้น ข้อมูลทั้งหมดจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุม C2 (Command and Control) ที่ตั้งอยู่ที่ 87e0bbc636999b.lhr[.]life
"@deadcode09284814/axios-util" และ "color-style-utils" จะเป็นมัลแวร์แบบ Infostealer ที่มีฟังก์ชันการขโมยข้อมูลเหมือนกับตัวอื่น ๆ ทั่วไป เช่น ความสามารถในการขโมยรหัสผ่านสำหรับการเข้าใช้งานระบบคลาวด์, กุญแจ SSH, ตัวแปรของสภาพแวดล้อม (Environment Variables), ข้อมูลของระบบของเหยื่อ, หมายเลขไอพี, และข้อมูลเกี่ยวกับกระเป๋าเงินคริปโตเคอร์เรนซี (Crypto Wallet) แล้วส่งไปยังเซิร์ฟเวอร์ C2 ที่ตั้งอยู่บน "80.200.28[.]28:2222" และ "edcf8b03c84634.lhr[.]life" ตามลำดับ
ทีมวิจัยแนะนำว่า ถ้าผู้อ่านรายใดเผลอทำการดาวน์โหลดแพ็คเกจเหล่านี้และทำการติดตั้งไปแล้ว ให้ทำการตรวจสอบหาการตั้งค่า (Configuration) บน IDEs และ Coding Agents เช่น Claude Code แล้วลบการตั้งค่านั้นทิ้ง, เปลี่ยนรหัส Secrets, และตรวจสอบ Repo บน Github ที่ผู้อ่านใช้งานอยู่เพื่อหาว่ามีค่าสตริงของมัลแวร์ว่า "A Mini Sha1-Hulud has Appeared" หรือไม่ แล้วจัดการบล็อกโดเมนที่น่าสงสัยว่าเกี่ยวข้องกับมัลแวร์ในทันที
เขียนโดย Annonymus TN
เปิด 3 ประเทศยอดฮิตที่เด็ก สปป.ลาว นิยมไปเรียนต่อต่างประเทศ
ชายญี่ปุ่นถูกจับ หลังดึงจุกอ่างบ่อน้ำพุร้อนจนใช้งานไม่ได้
ไปตรวจฟันฟรีเพราะปวดฟันซี่เดียว สุดท้ายถูกถอน 12 ซี่พร้อมฝังรากฟันเทียม
เขตของกรุงเทพมหานคร ที่มีสภาพเป็นพื้นที่ชนบทมากที่สุด
จังหวัดอันดับหนึ่งของไทย ที่โดดเด่นเรื่องนางงามมากที่สุด
คิดว่าเป็นของถูกทิ้ง ชายวัย 57 เก็บภาพวาดกลับบ้าน ก่อนพบมูลค่าหลายล้าน
ส่องแนวทางเลขมงคลและเลขดับพารวยต้านกระแส งวดวันที่ 16 กรกฎาคม 2569
จีน–รัสเซียเตรียมซ้อมรบทางทะเลร่วม ใกล้เมืองชิงเต่า
ทรัมป์ได้รับแหวนทองคำฝังเพชร 321 เม็ด ของขวัญครบรอบ 250 ปีสหรัฐฯ
ดราม่าดอกไม้ 4 กลีบ! ศาลจีนสั่ง Molly Tea ชดใช้กว่า 55 ล้านบาทให้ Louis Vuitton
"แต๋วจ๋าพารวย" วันที่ 16 กรกฎาคม 2569
วิธีดูว่าใครส่องเฟซเรา? มีใครแอบส่องอยู่ไหม?
ดราม่าดอกไม้ 4 กลีบ! ศาลจีนสั่ง Molly Tea ชดใช้กว่า 55 ล้านบาทให้ Louis Vuitton
จังหวัดอันดับหนึ่งของไทย ที่โดดเด่นเรื่องนางงามมากที่สุด
เงินเดือนขั้นต่ำของลาว เทียบกับไทย ปี 2026 ต่างกันแค่ไหน?
เลขเด็ด "เสือตกถัง (ปกฟ้า)" งวดวันที่ 16 กรกฎาคม 69..เลขเด็ดมาแรง!!



