เกาหลีเหนือปล่อยมัลแวร์ผ่าน npm Package ไปแล้วกว่า 31,000 ครั้ง!

เหตุการณ์ล่าสุดที่ถูกเปิดเผยสร้างความตื่นตัวให้กับวงการซอฟต์แวร์และความมั่นคงปลอดภัยไซเบอร์ทั่วโลก เมื่อพบว่ากลุ่มแฮกเกอร์จากเกาหลีเหนือได้ปล่อยแพ็กเกจ npm ที่แฝงมัลแวร์ออกมาจำนวนมาก โดยมีการดาวน์โหลดรวมกันมากกว่า 31,000 ครั้งก่อนที่ความผิดปกติจะถูกตรวจจับ เหตุการณ์นี้เป็นสัญญาณเตือนอย่างชัดเจนว่า Software Supply Chain กำลังกลายเป็นหนึ่งในเป้าหมายสำคัญที่ผู้ไม่หวังดีใช้เป็นช่องทางในการแทรกซึมระบบขององค์กรทั่วโลก จากรายงานเผยว่าแฮกเกอร์ได้สร้างแพ็กเกจจำนวน 197 รายการบน npm Registry โดยแต่ละ Package ออกแบบให้เลียนแบบชื่อของไลบรารียอดนิยมเพื่อหลอกให้ผู้พัฒนาเข้าใจผิดและติดตั้งลงในโปรเจกต์ของตน ความอันตรายอยู่ที่เมื่อแพ็กเกจเหล่านี้ถูกติดตั้ง มัลแวร์จะเริ่มทำงานทันทีเพื่อดึงข้อมูลเครื่อง เหยื่อ รวมถึงข้อมูลรับรอง (credentials) ต่าง ๆ กลับไปยังเซิร์ฟเวอร์ควบคุมของผู้โจมตี

กลไกการโจมตีและผลกระทบที่เกิดขึ้นจริง

แพ็กเกจปลอมเหล่านี้ถูกสร้างขึ้นโดยตรวจจับได้ยาก โดยมีโค้ดที่ปลอมตัวเป็น utility ทั่วไปหรือ mock data library ที่นักพัฒนามักใช้งานเพื่อทดสอบระบบ แต่ภายในกลับซ่อนสคริปต์อันตรายที่ทำงานอัตโนมัติหลังการติดตั้ง ความสามารถของมัลแวร์เป็นไปในลักษณะรวบรวมข้อมูลระบบ เช่น เวอร์ชันระบบปฏิบัติการ ค่าคอนฟิกของผู้ใช้ รายละเอียดบนเครื่อง และข้อมูลสำคัญด้านสิทธิ์การเข้าถึง

ตัวอย่าง Package ที่ได้รับผลกระทบ

bcryptjs-node
cross-sessions
json-oauth
node-tailwind
react-adparser
session-keeper
tailwind-magic
tailwindcss-forms
webpack-loadcss

ข้อมูลที่ถูกขโมยอาจถูกนำมาใช้เพื่อโจมตีเชิงลึก เช่น การบุกรุกเซิร์ฟเวอร์ขององค์กร การขยายสิทธิ์ (Privilege Escalation) หรือการเข้าไปฝังมัลแวร์เพิ่มเติม ทำให้พื้นที่โจมตีขยายตัวอย่างรวดเร็วโดยที่เหยื่อไม่ทันรู้ตัว การค้นพบครั้งนี้สะท้อนให้เห็นว่าแม้แต่แพ็กเกจที่ดูไม่น่าสงสัยก็อาจแฝงอันตรายอยู่ได้ หากไม่ได้ผ่านการตรวจสอบอย่างเข้มงวด การไว้วางใจซัพพลายเชนซอฟต์แวร์โดยไม่มีระบบตรวจสอบถือเป็นความเสี่ยงที่องค์กรยุคใหม่ต้องเผชิญอย่างจริงจัง

เหตุใด Supply Chain Attack จึงน่ากังวลกว่าที่คิด

การโจมตีผ่านห่วงโซ่อุปทานซอฟต์แวร์มีความอันตรายเป็นพิเศษ ไม่เพียงเพราะยากต่อการตรวจจับ แต่ยังสามารถแพร่กระจายผ่านระบบนิเวศของนักพัฒนาที่ใช้งานไลบรารีร่วมกันเป็นจำนวนมาก เมื่อแพ็กเกจอันตรายถูกดาวน์โหลดไปกว่า 31,000 ครั้ง นั่นหมายความว่าองค์กรต่าง ๆ ทั่วโลกอาจได้รับผลกระทบโดยไม่รู้ตัว สิ่งที่ทำให้การโจมตีแบบนี้ร้ายแรง คือผู้โจมตีไม่จำเป็นต้องเจาะระบบของเหยื่อโดยตรง แต่ใช้การปลอมแพ็กเกจซอฟต์แวร์ที่ผู้พัฒนาไว้วางใจอยู่แล้ว เมื่อผู้ใช้งานนำไปติดตั้งในสภาพแวดล้อมของตน การโจมตีก็เกิดขึ้นโดยอัตโนมัติ

องค์กรควรทบทวนแนวการทำ DevOps โดยมีการตรวจสอบความน่าเชื่อถือของแพ็กเกจก่อนติดตั้ง จำกัดการใช้งาน dependency จากผู้พัฒนาที่ไม่รู้จัก ใช้เครื่องมือวิเคราะห์หาพฤติกรรมอันตรายอัตโนมัติ และควรจัดทำระบบ mirror repository ภายในเพื่อลดความเสี่ยงจากแพ็กเกจที่ไม่ผ่านการตรวจสอบ นอกจากนี้ ควรมีการตรวจสอบการทำงานของ pipeline CI/CD อย่างสม่ำเสมอ เพื่อป้องกันโค้ดแปลกปลอมที่อาจถูกใส่เข้ามาโดยไม่ตั้งใจ และควรมีระบบแจ้งเตือนเมื่อพบพฤติกรรมผิดปกติจาก dependency ใหม่ที่เพิ่งเพิ่มเข้าในโปรเจกต์

บทสรุป: บทเรียนจากเหตุการณ์ npm Supply Chain Attack

การค้นพบมัลแวร์ที่ถูกดาวน์โหลดไปแล้วกว่า 31,000 ครั้งใน npm Registry แสดงให้เห็นชัดว่าแนวโน้มการโจมตี supply chain กำลังเพิ่มความถี่และความซับซ้อน ผู้โจมตีมีการเตรียมการอย่างละเอียด ใช้เทคนิคปลอมแพ็กเกจให้เหมือนจริง และใช้ช่องทางการพัฒนาซอฟต์แวร์มาเป็นประตูสู่การโจมตีระดับองค์กร การรับมือภัยรูปแบบนี้ไม่ใช่เพียงการอัปเดตซอฟต์แวร์หรือสแกนหามัลแวร์เท่านั้น แต่ต้องเริ่มตั้งแต่กระบวนการเลือกและตรวจสอบความปลอดภัยของ dependency รวมถึงการสร้างความตระหนักรู้ให้กับทีมพัฒนา เพื่อให้ทุกคนเข้าใจว่าทุกการติดตั้งแพ็กเกจจากภายนอกคือความเสี่ยงที่ต้องบริหารจัดการอย่างมีระบบ เมื่อซัพพลายเชนซอฟต์แวร์ยังคงเป็นพื้นฐานสำคัญในการสร้างระบบยุคใหม่ การเสริมความปลอดภัยเชิงรุกคือสิ่งที่ทุกองค์กรจำเป็นต้องลงทุน เพื่อป้องกันไม่ให้เหตุการณ์เช่นนี้เกิดขึ้นซ้ำอีกในอนาคต

Reference

The Hacker News. (2025, November). North Korean Hackers Deploy 197 Malicious npm Packages in Supply Chain Attack. Retrieved from https://thehackernews.com/2025/11/north-korean-hackers-deploy-197-npm.html

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line: @monsteronline

☎️ Tel: 02-026-6664

📩 Email: [email protected]

🌐 ดูสินค้าเพิ่มเติม: mon.co.th

แชทผ่าน LINE

ดูสินค้าทั้งหมด