Back to Blog

ภัยคุกคามใหม่! มัลแวร์แพร่กระจายใน npm ขโมยโทเค็นนักพัฒนา

พบมัลแวร์ชนิดหนอนแพร่กระจายในแพ็กเกจ npm ใช้โทเค็นนักพัฒนาที่ถูกขโมยขยายวงจรการโจมตีซัพพลายเชนซอฟต์แวร์

Sales
1 min read
ภัยคุกคามใหม่! มัลแวร์แพร่กระจายใน npm ขโมยโทเค็นนักพัฒนา

นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ตรวจพบชุดแพ็กเกจซอฟต์แวร์ใหม่ที่ถูกแฮกเกอร์เจาะระบบเพื่อแจกจ่ายมัลแวร์ชนิดหนอนที่สามารถแพร่กระจายตัวเองได้ ภัยคุกคามนี้ใช้โทเค็นของนักพัฒนา npm ที่ถูกขโมยเพื่อขยายวงกว้างอย่างรวดเร็วในระบบซัพพลายเชน

การโจมตีครั้งนี้ถูกค้นพบและติดตามโดยบริษัทด้านความปลอดภัยสองแห่งคือ Socket และ StepSecurity ซึ่งตั้งชื่อโค้ดการโจมตีนี้ว่า CanisterSprawl เนื่องจากผู้โจมตีใช้ ICP canister ในการส่งข้อมูลที่ขโมยมาไปยังเซิร์ฟเวอร์ภายนอก


กลไกการแพร่กระจายของมัลแวร์


มัลแวร์ชนิดหนอนนี้ทำงานด้วยกลไกที่ซับซ้อน โดยเริ่มจากการแทรกซึมเข้าไปในแพ็กเกจ npm ที่ได้รับความนิยม เมื่อนักพัฒนาดาวน์โหลดและติดตั้งแพ็กเกจที่ติดมัลแวร์ ระบบจะถูกแอบติดตั้งโค้ดอันตรายที่ออกแบบมาเพื่อขโมยโทเค็นการยืนยันตัวตน

โทเค็นที่ถูกขโมยเหล่านี้จะถูกใช้โดยอัตโนมัติเพื่อเผยแพร่มัลแวร์ไปยังแพ็กเกจอื่นๆ ที่นักพัฒนาคนเดียวกันมีสิทธิ์เข้าถึง สร้างวงจรการแพร่กระจายที่ขยายตัวอย่างรวดเร็วโดยไม่ต้องมีการแทรกแซงจากมนุษย์เพิ่มเติม


เป้าหมายและข้อมูลที่ถูกขโมย


เป้าหมายหลักของการโจมตีครั้งนี้คือโทเค็น npm ที่ใช้สำหรับการยืนยันตัวตนและกระบวนการพัฒนา ซึ่งเมื่อแฮกเกอร์ได้โทเค็นเหล่านี้ไปแล้ว พวกเขาสามารถเข้าถึงและแก้ไขแพ็กเกจต่างๆ ที่นักพัฒนามีสิทธิ์จัดการได้

นอกจากโทเค็นแล้ว มัลแวร์ยังถูกออกแบบมาเพื่อรวบรวมข้อมูลสำคัญอื่นๆ จากระบบที่ติดเชื้อ รวมถึงข้อมูลการกำหนดค่าสภาพแวดล้อม การตั้งค่าโปรเจกต์ และข้อมูลประจำตัวอื่นๆ ที่อาจถูกใช้ในการโจมตีเพิ่มเติม


การตรวจจับและชื่อโค้ด CanisterSprawl


บริษัท Socket และ StepSecurity ระบุว่าการโจมตีนี้มีลักษณะพิเศษคือการใช้ ICP canister ซึ่งเป็นส่วนหนึ่งของอินเทอร์เน็ตคอมพิวเตอร์ เพื่อเป็นจุดรับข้อมูลที่ถูกขโมย เทคนิคนี้ทำให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจจับได้ยากขึ้น

ชื่อโค้ด CanisterSprawl สะท้อนถึงลักษณะการแพร่กระจายของมัลแวร์ที่คล้ายกับการขยายตัวของเมืองไร้การควบคุม โดยมัลแวร์จะค่อยๆ แพร่กระจายไปยังแพ็กเกจและโปรเจกต์ต่างๆ อย่างต่อเนื่องจนครอบคลุมพื้นที่กว้างขวาง


คำแนะนำสำหรับนักพัฒนา


นักพัฒนาควรตรวจสอบแพ็กเกจที่ใช้อยู่เป็นประจำ และอัปเดตไปยังเวอร์ชันล่าสุดที่ปลอดภัย การใช้โทเค็นที่มีขอบเขตการเข้าถึงจำกัดแทนโทเค็นที่มีสิทธิ์เต็มรูปแบบสามารถลดความเสียหายได้หากเกิดการรั่วไหล

การตรวจสอบบันทึกกิจกรรมในบัญชี npm อย่างสม่ำเสมอสามารถช่วยตรวจจับกิจกรรมที่น่าสงสัยได้ตั้งแต่เนิ่นๆ นอกจากนี้ การใช้เครื่องมือตรวจสอบความปลอดภัยซัพพลายเชนเช่นที่ Socket พัฒนาขึ้นสามารถช่วยป้องกันการโจมตีประเภทนี้ได้

สำหรับองค์กรที่ต้องการการป้องกันที่ครอบคลุมมากขึ้น โซลูชันความปลอดภัยไซเบอร์แบบครบวงจร สามารถช่วยสร้างชั้นการป้องกันหลายระดับตั้งแต่การพัฒนาจนถึงการใช้งานจริง


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINE ดูสินค้าทั้งหมด