แฮกเกอร์ยึด npm packages ยอดดาวน์โหลดกว่า 2 พันล้านครั้งต่อสัปดาห์ในการโจมตี Supply Chain

September 9, 2025 Cybersecurity, Software Development, Software Development & DevOps, Threats Update

ผู้โจมตีสามารถเข้าควบคุม npm packages ที่มียอดดาวน์โหลดรวมกว่า 2.6 พันล้านครั้งต่อสัปดาห์ผ่านการโจมตีแบบ phishing ที่มุ่งเป้าไปยัง maintainer เพื่อฝังโค้ดอันตรายสำหรับขโมย cryptocurrency transactions

เหตุการณ์เกิดขึ้นเมื่อ Josh Junon ซึ่งเป็น maintainer ของ package ที่ถูกโจมตี ได้รับอีเมล phishing ที่ปลอมแปลงมาจากโดเมน support@npmjs.help ซึ่งเลียนแบบเว็บไซต์ npmjs.com ของแท้ เนื้อหาในอีเมลระบุว่าผู้ใช้งานต้องอัปเดต Two-Factor Authentication (2FA) ภายในวันที่ 10 กันยายน 2025 มิฉะนั้นบัญชีจะถูกล็อกชั่วคราว วิธีการนี้ทำให้ผู้โจมตีสามารถขโมยข้อมูลการเข้าสู่ระบบและเข้าควบคุมบัญชีของ maintainer ได้สำเร็จ

หลังจากเข้าควบคุมบัญชีได้แล้ว ผู้โจมตีได้อัปเดต packages โดยฝังโค้ดอันตรายเข้าไปในไฟล์ index.js ตามรายงานจาก Aikido Security พบว่าโค้ดที่ถูกฝังจะทำงานเป็น browser-based interceptor ที่สามารถดักจับ network traffic และ API ของ application โดยมุ่งเป้าไปที่การทำธุรกรรม cryptocurrency โดยเฉพาะ โค้ดจะคอยเฝ้าดูที่อยู่ wallet ของ Ethereum, Bitcoin, Solana, Tron, Litecoin และ Bitcoin Cash เมื่อตรวจพบการทำธุรกรรม มันจะเปลี่ยนที่อยู่ปลายทางเป็นที่อยู่ที่ผู้โจมตีควบคุม ทำให้เงินถูกโอนไปยังผู้โจมตีแทนที่จะไปถึงผู้รับที่แท้จริง การทำงานนี้จะเกิดขึ้นโดยการ hook JavaScript functions ต่างๆ เช่น fetch, XMLHttpRequest และ wallet APIs อย่าง window.ethereum

packages ที่ถูกโจมตีในครั้งนี้มีจำนวนมากและเป็นที่นิยมอย่างสูง รวมถึง debug (357.6 ล้านดาวน์โหลดต่อสัปดาห์), ansi-styles (371.41 ล้าน), chalk (299.99 ล้าน), strip-ansi (261.17 ล้าน) และอื่นๆ อีกหลายตัว ซึ่งเป็น dependencies พื้นฐานที่ใช้กันอย่างแพร่หลายในโปรเจ็กต์ JavaScript ทั่วโลก อย่างไรก็ตาม Andrew MacPherson จาก Privy ชี้ให้เห็นว่าแอปพลิเคชันจะได้รับผลกระทบก็ต่อเมื่อมีการติดตั้ง package ใหม่ในช่วงเวลาประมาณ 9:00-11:30 น. ET ที่ packages ถูกโจมตี และมีการสร้าง package-lock.json ในช่วงเวลานั้น

เหตุการณ์นี้สะท้อนให้เห็นถึงความเสี่ยงของการโจมตี supply chain ที่กำลังเป็นปัญหาใหญ่ในวงการพัฒนาซอฟต์แวร์ โดยเฉพาะใน ecosystem ของ JavaScript ที่มีการพึ่งพา 3rd-party packages เป็นจำนวนมาก นักพัฒนาและผู้ดูแลระบบควรตรวจสอบ dependencies อย่างสม่ำเสมอ ใช้เครื่องมือสแกนช่องโหว่ และระมัดระวังอีเมล phishing ที่อาจมาในรูปแบบต่างๆ แม้จะดูเหมือนมาจากแหล่งที่น่าเชื่อถือก็ตาม

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-hijack-npm-packages-with-2-billion-weekly-downloads-in-supply-chain-attack/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Thales เคียงข้างธุรกิจการเงินไทย ยกระดับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ตามข้อกำหนดของ ธปท., คปภ. และ ก.ล.ต.

ในยุคดิจิทัลที่เทคโนโลยีทางการเงินพัฒนาไปอย่างรวดเร็ว ภัยคุกคามทางไซเบอร์ก็ทวีความซับซ้อนและรุนแรงขึ้นเป็นเงาตามตัว สำหรับสถาบันการเงิน ธุรกิจประกันภัย และผู้ประกอบธุรกิจในตลาดทุนไทย การสร้างระบบรักษาความมั่นคงปลอดภัยที่แข็งแกร่งไม่ได้เป็นเพียงแค่ทางเลือกเพื่อปกป้องธุรกิจเท่านั้น แต่เป็น “หน้าที่สำคัญและมาตรฐานทางกฎหมาย” ที่ต้องปฏิบัติตามอย่างเคร่งครัด

ETDA เปิดไฮไลท์ เวที AIGW 2026 ชู AI Governance จากหลักการระดับโลก สู่การใช้งานจริงในประเทศไทย [PR]

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือ ETDA กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม จับมือพาร์ทเนอร์หน่วยงานชั้นนำทั้งไทยและต่างประเทศ เตรียมจัดงาน AI Governance Week 2026 (AIGW 2026) เวทีสำคัญด้านธรรมาภิบาลปัญญาประดิษฐ์ของประเทศไทย ภายใต้แนวคิด “Connecting …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand