แฮกเกอร์ยึด npm packages ยอดดาวน์โหลดกว่า 2 พันล้านครั้งต่อสัปดาห์ในการโจมตี Supply Chain

September 9, 2025 Cybersecurity, Software Development, Software Development & DevOps, Threats Update

ผู้โจมตีสามารถเข้าควบคุม npm packages ที่มียอดดาวน์โหลดรวมกว่า 2.6 พันล้านครั้งต่อสัปดาห์ผ่านการโจมตีแบบ phishing ที่มุ่งเป้าไปยัง maintainer เพื่อฝังโค้ดอันตรายสำหรับขโมย cryptocurrency transactions

เหตุการณ์เกิดขึ้นเมื่อ Josh Junon ซึ่งเป็น maintainer ของ package ที่ถูกโจมตี ได้รับอีเมล phishing ที่ปลอมแปลงมาจากโดเมน support@npmjs.help ซึ่งเลียนแบบเว็บไซต์ npmjs.com ของแท้ เนื้อหาในอีเมลระบุว่าผู้ใช้งานต้องอัปเดต Two-Factor Authentication (2FA) ภายในวันที่ 10 กันยายน 2025 มิฉะนั้นบัญชีจะถูกล็อกชั่วคราว วิธีการนี้ทำให้ผู้โจมตีสามารถขโมยข้อมูลการเข้าสู่ระบบและเข้าควบคุมบัญชีของ maintainer ได้สำเร็จ

หลังจากเข้าควบคุมบัญชีได้แล้ว ผู้โจมตีได้อัปเดต packages โดยฝังโค้ดอันตรายเข้าไปในไฟล์ index.js ตามรายงานจาก Aikido Security พบว่าโค้ดที่ถูกฝังจะทำงานเป็น browser-based interceptor ที่สามารถดักจับ network traffic และ API ของ application โดยมุ่งเป้าไปที่การทำธุรกรรม cryptocurrency โดยเฉพาะ โค้ดจะคอยเฝ้าดูที่อยู่ wallet ของ Ethereum, Bitcoin, Solana, Tron, Litecoin และ Bitcoin Cash เมื่อตรวจพบการทำธุรกรรม มันจะเปลี่ยนที่อยู่ปลายทางเป็นที่อยู่ที่ผู้โจมตีควบคุม ทำให้เงินถูกโอนไปยังผู้โจมตีแทนที่จะไปถึงผู้รับที่แท้จริง การทำงานนี้จะเกิดขึ้นโดยการ hook JavaScript functions ต่างๆ เช่น fetch, XMLHttpRequest และ wallet APIs อย่าง window.ethereum

packages ที่ถูกโจมตีในครั้งนี้มีจำนวนมากและเป็นที่นิยมอย่างสูง รวมถึง debug (357.6 ล้านดาวน์โหลดต่อสัปดาห์), ansi-styles (371.41 ล้าน), chalk (299.99 ล้าน), strip-ansi (261.17 ล้าน) และอื่นๆ อีกหลายตัว ซึ่งเป็น dependencies พื้นฐานที่ใช้กันอย่างแพร่หลายในโปรเจ็กต์ JavaScript ทั่วโลก อย่างไรก็ตาม Andrew MacPherson จาก Privy ชี้ให้เห็นว่าแอปพลิเคชันจะได้รับผลกระทบก็ต่อเมื่อมีการติดตั้ง package ใหม่ในช่วงเวลาประมาณ 9:00-11:30 น. ET ที่ packages ถูกโจมตี และมีการสร้าง package-lock.json ในช่วงเวลานั้น

เหตุการณ์นี้สะท้อนให้เห็นถึงความเสี่ยงของการโจมตี supply chain ที่กำลังเป็นปัญหาใหญ่ในวงการพัฒนาซอฟต์แวร์ โดยเฉพาะใน ecosystem ของ JavaScript ที่มีการพึ่งพา 3rd-party packages เป็นจำนวนมาก นักพัฒนาและผู้ดูแลระบบควรตรวจสอบ dependencies อย่างสม่ำเสมอ ใช้เครื่องมือสแกนช่องโหว่ และระมัดระวังอีเมล phishing ที่อาจมาในรูปแบบต่างๆ แม้จะดูเหมือนมาจากแหล่งที่น่าเชื่อถือก็ตาม

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-hijack-npm-packages-with-2-billion-weekly-downloads-in-supply-chain-attack/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

CyberGenics ในกลุ่มจีเอเบิล เปิดเวที CyberGenics Summit 2026 เผยทิศทาง Cybersecurity ยุค Intelligent Enterprise รับมือ AI และภัยคุกคามแห่งอนาคต [PR]

CyberGenics ผู้นำด้าน AI Security และ Managed Security Services ในกลุ่ม G-Able Group เปิดเวที CyberGenics Summit 2026 …

Nokia เปิดตัว Deepfield Genome Shield โซลูชันป้องกัน DDoS ที่ออกแบบมาสำหรับผู้ให้บริการโทรคมนาคม

Nokia ประกาศเปิดตัว Deepfield Genome Shield ระบบป้องกันการโจมตีแบบ DDoS อัตโนมัติที่ออกแบบมาเพื่อยกระดับความมั่นคงปลอดภัยให้กับผู้ให้บริการโทรคมนาคม และผู้ให้บริการคลาวด์ ชูจุดเด่นด้วยการผสานฐานข้อมูล Threat Intelligence จากอุปกรณ์กว่า 5 พันล้านเครื่องทั่วโลก …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand