มัลแวร์โจมตี Supply Chain ใน NPM Package ของ Gluestack ยอดดาวน์โหลดสัปดาห์ละ 1 ล้านครั้ง

June 10, 2025 Cybersecurity, Threats Update

พบการโจมตี Supply Chain ขนาดใหญ่เข้าใส่ NPM Package ยอดนิยม 17 แพ็กเกจของ Gluestack ที่มียอดดาวน์โหลดรวมกว่า 1 ล้านครั้งต่อสัปดาห์ พบโค้ดมัลแวร์ที่ทำงานเป็น Remote Access Trojan

การโจมตี Supply Chain ครั้งสำคัญได้เกิดขึ้นใน NPM หลังจาก Package ยอดนิยม 17 แพ็กเกจของ Gluestack ‘@react-native-aria’ ที่มียอดดาวน์โหลดรวมกว่า 1 ล้านครั้งถูกแทรกโค้ดมัลแวร์ที่ทำงานเป็น Remote Access Trojan การโจมตีเริ่มต้นเมื่อวันที่ 6 มิถุนายน เวลา 4:33 น. EST จากการเผยแพร่เวอร์ชันใหม่ของแพ็กเกจ @react-native-aria/focus บน NPM นับตั้งแต่นั้นมา 17 จาก 20 แพ็กเกจของ Gluestack ถูก compromised โดยผู้โจมตีได้เผยแพร่เวอร์ชันใหม่ล่าสุดเมื่อไม่กี่ชั่วโมงที่ผ่านมา แพ็กเกจที่ได้รับผลกระทบรวมถึง @react-native-aria/button, @react-native-aria/focus, @react-native-aria/interactions และอื่นๆ ที่มียอดดาวน์โหลดตั้งแต่ 51,000 ถึง 125,000 ครั้งต่อสัปดาห์

การโจมตีครั้งนี้ถูกค้นพบโดยบริษัทด้านความปลอดภัยไซเบอร์ Aikido Security ซึ่งพบโค้ดที่ถูกซ่อนอยู่ในไฟล์ lib/index.js โค้ดมัลแวร์ถูกซ่อนอย่างหนักและแทรกที่บรรทัดสุดท้ายของโค้ดต้นฉบับ โดยเติมช่องว่างจำนวนมากเพื่อไม่ให้เห็นได้ง่ายเมื่อใช้ Code Viewer บนเว็บไซต์ NPM โค้ดมัลแวร์นี้เกือบจะเหมือนกับ Remote Access Trojan ที่พบในการโจมตี NPM อื่นๆ เมื่อเดือนที่แล้ว Remote Access Trojan จะเชื่อมต่อไปยัง Command and Control Server ของผู้โจมตีและรับคำสั่งต่างๆ เช่น การเปลี่ยน Directory ปัจจุบัน, การอัปโหลดไฟล์เดี่ยวหรือทั้ง Directory, การหยุดกระบวนการอัปโหลด และการรันคำสั่ง Shell ใดๆ ผ่าน child_process.exec()

นอกจากนี้ Trojan ยังดำเนินการ Windows PATH Hijacking โดยการเพิ่มเส้นทาง Python ปลอม (%LOCALAPPDATA%\Programs\Python\Python3127) ไปยังตัวแปรสภาพแวดล้อม PATH ทำให้มัลแวร์สามารถแทนที่คำสั่ง Python หรือ pip ที่ถูกต้องเพื่อรันไฟล์ binary ที่เป็นอันตราย Aikido Security ได้พยายามติดต่อ Gluestack เกี่ยวกับการโจมตีครั้งนี้โดยการสร้าง GitHub Issues ในแต่ละ Repository ของโปรเจกต์ แต่ยังไม่ได้รับการตอบสนองในเวลานั้น หลังจากการเผยแพร่ข่าวนี้ Gluestack ได้เพิกถอน Access Token ที่ใช้ในการเผยแพร่แพ็กเกจที่ถูก compromised และทำการ Deprecate แพ็กเกจเหล่านั้นบน NPM พร้อมกับอัปเดต latest tag ให้ชี้ไปยังเวอร์ชันเก่าที่ปลอดภัย เนื่องจากไม่สามารถ Unpublish เวอร์ชันที่ถูก compromised ได้เพราะมีแพ็กเกจอื่นที่ Depend อยู่

ที่มา: https://www.bleepingcomputer.com/news/security/supply-chain-attack-hits-gluestack-npm-packages-with-960k-weekly-downloads/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

เปิดตัว Datadog Code Security MCP ตรวจความปลอดภัยของ Code ที่ AI สร้างได้แบบ Real-Time

Datadog ได้ออกมาประกาศเปิดตัวเครื่องมือใหม่ Datadog Code Security MCP สำหรับใช้ตรวจสอบความปลอดภัยของโค้ดที่ AI เขียนขึ้นมาได้ทันทีโดยไม่ต้องรอ Pull Request หรือ CI Pipeline อีกต่อไป

Ubiquiti เปิดตัว Dream Machine Beast ระบบ UniFi Gateway แห่งอนาคตที่รวม Network, Security, Management เข้าด้วยกัน ตอบโจทย์ตลาดองค์กร

Ubiquiti ได้ออกมาประกาศเปิดตัว Dream Machine ซึ่งเป็น UniFi Gateway รุ่นใหม่ที่มีประสิทธิภาพสูงกว่าเดิม, เพิ่มขยายได้ง่าย แต่ยังคงบริหารจัดการจากศูนย์กลางได้อย่างง่ายดาย เพื่อรองรับการใช้งานในภาคธุรกิจองค์กรที่มีผู้ใช้งานจำนวนมากโดยเฉพาะ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand