ภัยคุกคามใหม่! แฮกเกอร์ DPRK แทรกมัลแวร์ลงในไลบรารี Axios npm

นักวิจัยความปลอดภัยตรวจพบการโจมตีซัพพลายเชนครั้งสำคัญ เมื่อผู้คุกคามใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อแทรกมัลแวร์ลงในไลบรารี Axios ซึ่งเป็นแพ็คเกจ npm ยอดนิยมที่ถูกดาวน์โหลดกว่า 100,000 ครั้งต่อสัปดาห์

กิจกรรมนี้ถูกระบุว่ามาจากกลุ่ม STARDUST CHOLLIMA ที่มีสายสัมพันธ์กับเกาหลีเหนือ โดยพวกเขาใช้มัลแวร์ ZshBucket รุ่นอัปเดตที่สามารถทำงานข้ามแพลตฟอร์มได้

การอัปเกรดมัลแวร์ ZshBucket

มัลแวร์ ZshBucket ในเหตุการณ์นี้มีการพัฒนาขึ้นอย่างมากเมื่อเทียบกับรุ่นก่อนหน้า โดยสามารถโจมตีระบบ Linux, macOS และ Windows ได้ทั้งหมด ในขณะที่ก่อนหน้านี้พบเฉพาะรุ่นสำหรับ macOS เท่านั้น

นอกจากนี้ มัลแวร์ยังใช้โปรโตคอลการสื่อสารแบบ JSON ร่วมกันสำหรับทุกแพลตฟอร์ม และมีคำสั่งใหม่ที่ทำให้ผู้โจมตีสามารถฉีดเพย์โหลดไบนารี รันสคริปต์และคำสั่งตามใจชอบ สำรวจระบบไฟล์ และปิดการทำงานของมัลแวร์จากระยะไกลได้

โครงสร้างพื้นฐานที่เชื่อมโยง

การโจมตีครั้งนี้ใช้โดเมน sfrclak[.]com ซึ่งโฮสต์ที่ IP 142.11.206[.]73 เป็นเซิร์ฟเวอร์ควบคุมและบังคับบัญชา

โดเมนนี้มีแฮชแบนเนอร์บริการโฮสต์ตรงกับ IP อื่นอีกสองที่ ซึ่งหนึ่งในนั้นคือ 23.254.203[.]244 ที่เคยถูกใช้โดยกลุ่ม STARDUST CHOLLIMA มาก่อนในเดือนธันวาคม 2025

การประเมินและเป้าหมาย

นักวิจัยให้ความมั่นใจในระดับปานกลางว่ากิจกรรมนี้มาจากกลุ่ม STARDUST CHOLLIMA เนื่องจากมีการใช้มัลแวร์ ZshBucket ที่เป็นเอกลักษณ์ของกลุ่มนี้

อย่างไรก็ตาม โครงสร้างพื้นฐานบางส่วนก็ซ้อนทับกับการดำเนินงานของกลุ่ม FAMOUS CHOLLIMA ด้วย ทำให้ไม่สามารถประเมินด้วยความมั่นใจระดับสูงได้

เป้าหมายของการโจมตีครั้งนี้ยังไม่ชัดเจน แต่คาดว่าอาจเกี่ยวข้องกับวัตถุประสงค์ในการสร้างรายได้ทาง cryptocurrency ซึ่งสอดคล้องกับพฤติกรรมก่อนหน้าของกลุ่ม

แนวโน้มการโจมตีที่เพิ่มขึ้น

นับตั้งแต่ปลายไตรมาสที่ 4 ของปี 2025 กลุ่ม STARDUST CHOLLIMA มีอัตราการดำเนินงานที่เพิ่มสูงขึ้นอย่างต่อเนื่อง

การโจมตีซัพพลายเชนครั้งนี้ด้วยมัลแวร์รุ่นอัปเดต เป็นหลักฐานเพิ่มเติมที่ชี้ให้เห็นว่ากลุ่มมีแผนจะขยายการดำเนินงานในระยะใกล้

Reference

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th