30
Nov
เกาหลีเหนือปล่อยมัลแวร์ผ่าน npm Package ไปแล้วกว่า 31,000 ครั้ง!
in Blog
Comments
เหตุการณ์ล่าสุดที่ถูกเปิดเผยสร้างความตื่นตัวให้กับวงการซอฟต์แวร์และความมั่นคงปลอดภัยไซเบอร์ทั่วโลก เมื่อพบว่ากลุ่มแฮกเกอร์จากเกาหลีเหนือได้ปล่อยแพ็กเกจ npm ที่แฝงมัลแวร์ออกมาจำนวนมาก โดยมีการดาวน์โหลดรวมกันมากกว่า 31,000 ครั้งก่อนที่ความผิดปกติจะถูกตรวจจับ เหตุการณ์นี้เป็นสัญญาณเตือนอย่างชัดเจนว่า Software Supply Chain กำลังกลายเป็นหนึ่งในเป้าหมายสำคัญที่ผู้ไม่หวังดีใช้เป็นช่องทางในการแทรกซึมระบบขององค์กรทั่วโลก จากรายงานเผยว่าแฮกเกอร์ได้สร้างแพ็กเกจจำนวน 197 รายการบน npm Registry โดยแต่ละ Package ออกแบบให้เลียนแบบชื่อของไลบรารียอดนิยมเพื่อหลอกให้ผู้พัฒนาเข้าใจผิดและติดตั้งลงในโปรเจกต์ของตน ความอันตรายอยู่ที่เมื่อแพ็กเกจเหล่านี้ถูกติดตั้ง มัลแวร์จะเริ่มทำงานทันทีเพื่อดึงข้อมูลเครื่อง เหยื่อ รวมถึงข้อมูลรับรอง (credentials) ต่าง ๆ กลับไปยังเซิร์ฟเวอร์ควบคุมของผู้โจมตี
กลไกการโจมตีและผลกระทบที่เกิดขึ้นจริง
แพ็กเกจปลอมเหล่านี้ถูกสร้างขึ้นโดยตรวจจับได้ยาก โดยมีโค้ดที่ปลอมตัวเป็น utility ทั่วไปหรือ mock data library ที่นักพัฒนามักใช้งานเพื่อทดสอบระบบ แต่ภายในกลับซ่อนสคริปต์อันตรายที่ทำงานอัตโนมัติหลังการติดตั้ง ความสามารถของมัลแวร์เป็นไปในลักษณะรวบรวมข้อมูลระบบ เช่น เวอร์ชันระบบปฏิบัติการ ค่าคอนฟิกของผู้ใช้ รายละเอียดบนเครื่อง และข้อมูลสำคัญด้านสิทธิ์การเข้าถึงตัวอย่าง Package ที่ได้รับผลกระทบ
- bcryptjs-node
- cross-sessions
- json-oauth
- node-tailwind
- react-adparser
- session-keeper
- tailwind-magic
- tailwindcss-forms
- webpack-loadcss
เหตุใด Supply Chain Attack จึงน่ากังวลกว่าที่คิด
การโจมตีผ่านห่วงโซ่อุปทานซอฟต์แวร์มีความอันตรายเป็นพิเศษ ไม่เพียงเพราะยากต่อการตรวจจับ แต่ยังสามารถแพร่กระจายผ่านระบบนิเวศของนักพัฒนาที่ใช้งานไลบรารีร่วมกันเป็นจำนวนมาก เมื่อแพ็กเกจอันตรายถูกดาวน์โหลดไปกว่า 31,000 ครั้ง นั่นหมายความว่าองค์กรต่าง ๆ ทั่วโลกอาจได้รับผลกระทบโดยไม่รู้ตัว สิ่งที่ทำให้การโจมตีแบบนี้ร้ายแรง คือผู้โจมตีไม่จำเป็นต้องเจาะระบบของเหยื่อโดยตรง แต่ใช้การปลอมแพ็กเกจซอฟต์แวร์ที่ผู้พัฒนาไว้วางใจอยู่แล้ว เมื่อผู้ใช้งานนำไปติดตั้งในสภาพแวดล้อมของตน การโจมตีก็เกิดขึ้นโดยอัตโนมัติ
องค์กรควรทบทวนแนวการทำ DevOps โดยมีการตรวจสอบความน่าเชื่อถือของแพ็กเกจก่อนติดตั้ง จำกัดการใช้งาน dependency จากผู้พัฒนาที่ไม่รู้จัก ใช้เครื่องมือวิเคราะห์หาพฤติกรรมอันตรายอัตโนมัติ และควรจัดทำระบบ mirror repository ภายในเพื่อลดความเสี่ยงจากแพ็กเกจที่ไม่ผ่านการตรวจสอบ นอกจากนี้ ควรมีการตรวจสอบการทำงานของ pipeline CI/CD อย่างสม่ำเสมอ เพื่อป้องกันโค้ดแปลกปลอมที่อาจถูกใส่เข้ามาโดยไม่ตั้งใจ และควรมีระบบแจ้งเตือนเมื่อพบพฤติกรรมผิดปกติจาก dependency ใหม่ที่เพิ่งเพิ่มเข้าในโปรเจกต์
บทสรุป: บทเรียนจากเหตุการณ์ npm Supply Chain Attack
การค้นพบมัลแวร์ที่ถูกดาวน์โหลดไปแล้วกว่า 31,000 ครั้งใน npm Registry แสดงให้เห็นชัดว่าแนวโน้มการโจมตี supply chain กำลังเพิ่มความถี่และความซับซ้อน ผู้โจมตีมีการเตรียมการอย่างละเอียด ใช้เทคนิคปลอมแพ็กเกจให้เหมือนจริง และใช้ช่องทางการพัฒนาซอฟต์แวร์มาเป็นประตูสู่การโจมตีระดับองค์กร การรับมือภัยรูปแบบนี้ไม่ใช่เพียงการอัปเดตซอฟต์แวร์หรือสแกนหามัลแวร์เท่านั้น แต่ต้องเริ่มตั้งแต่กระบวนการเลือกและตรวจสอบความปลอดภัยของ dependency รวมถึงการสร้างความตระหนักรู้ให้กับทีมพัฒนา เพื่อให้ทุกคนเข้าใจว่าทุกการติดตั้งแพ็กเกจจากภายนอกคือความเสี่ยงที่ต้องบริหารจัดการอย่างมีระบบ เมื่อซัพพลายเชนซอฟต์แวร์ยังคงเป็นพื้นฐานสำคัญในการสร้างระบบยุคใหม่ การเสริมความปลอดภัยเชิงรุกคือสิ่งที่ทุกองค์กรจำเป็นต้องลงทุน เพื่อป้องกันไม่ให้เหตุการณ์เช่นนี้เกิดขึ้นซ้ำอีกในอนาคตReference
The Hacker News. (2025, November). North Korean Hackers Deploy 197 Malicious npm Packages in Supply Chain Attack. Retrieved from https://thehackernews.com/2025/11/north-korean-hackers-deploy-197-npm.htmlหากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line: @monsteronline
☎️ Tel: 02-026-6664
📩 Email: [email protected]
🌐 ดูสินค้าเพิ่มเติม: mon.co.th
