Back to Blog

ภัยคุกคามใหม่! แฮกเกอร์โจมตีไลบรารี Axios ผ่าน npm แพร่มัลแวร์ข้ามแพลตฟอร์ม

นักวิจัยพบการโจมตีซัพพลายเชนไลบรารี Axios บน npm โดยกลุ่มแฮกเกอร์ STARDUST CHOLLIMA เพื่อแพร่มัลแวร์ ZshBucket รุ่นใหม่ที่โจมตีได้หลายระบบปฏิบัติการ

Sales
1 min read
ภัยคุกคามใหม่! แฮกเกอร์โจมตีไลบรารี Axios ผ่าน npm แพร่มัลแวร์ข้ามแพลตฟอร์ม

เมื่อวันที่ 31 มีนาคม 2569 ผู้คุกคามใช้ข้อมูลประจำตัวของผู้ดูแลที่ถูกขโมย เพื่อแทรกแซงไลบรารี Axios บน npm ซึ่งเป็นแพ็คเกจยอดนิยมสำหรับการส่งคำขอ HTTP และได้ปล่อยมัลแวร์ ZshBucket รุ่นใหม่ที่รองรับหลายแพลตฟอร์ม

ผู้เชี่ยวชาญจาก CrowdStrike เชื่อว่ากิจกรรมนี้มีแนวโน้มมาจากกลุ่ม STARDUST CHOLLIMA เนื่องจากพบการใช้มัลแวร์ ZshBucket ที่อัปเดตแล้ว ซึ่งเป็นเครื่องมือเฉพาะของกลุ่มนี้ พร้อมทั้งพบการซ้อนทับของโครงสร้างพื้นฐานกับที่เคยใช้มาก่อน


มัลแวร์ ZshBucket รุ่นใหม่ข้ามแพลตฟอร์ม

มัลแวร์ ZshBucket สามารถโจมตีระบบ Linux macOS และ Windows ได้ ซึ่งก่อนหน้านี้พบเฉพาะรุ่นสำหรับ macOS เท่านั้น รุ่นที่พบในเหตุการณ์นี้ยังคงใช้โค้ดและชื่อฟังก์ชันเดิมจากตัวอย่างก่อนหน้า แต่มีการอัปเกรดสำคัญ

การอัปเดตหลักได้แก่ การใช้โปรโตคอลการสื่อสารแบบ JSON ร่วมกันสำหรับทุกแพลตฟอร์ม และเพิ่มคำสั่งใหม่ที่ช่วยให้ผู้โจมตีสามารถฉีดเพย์โหลดแบบไบนารี รันสคริปต์หรือคำสั่งใดๆ ก็ได้ สำรวจระบบไฟล์ และปิดการทำงานของมัลแวร์จากระยะไกลได้


โครงสร้างพื้นฐานที่เชื่อมโยง

โดเมน sfrclak[.]com ที่ใช้เป็นเซิร์ฟเวอร์ควบคุมและสั่งการ ถูกโฮสต์ที่ IP 142.11.206[.]73 และมีแฮชแบนเนอร์บริการโฮสต์ตรงกับ IP อีกสองหมายเลขคือ 23.254.203[.]244 และ 23.254.167.216

IP 23.254.203[.]244 เป็นที่รู้จักว่าเป็นของ STARDUST CHOLLIMA ตั้งแต่เดือนธันวาคม 2568 ส่วน 23.254.167.216 เคยถูกใช้เป็นเซิร์ฟเวอร์ควบคุมมัลแวร์ InvisibleFerret ของกลุ่ม FAMOUS CHOLLIMA ในเดือนพฤษภาคม 2565


การประเมินและเป้าหมาย

แม้จะมีโครงสร้างพื้นฐานที่ซ้อนทับกับกลุ่ม FAMOUS CHOLLIMA แต่การโจมตีครั้งนี้มีแนวโน้มมาจาก STARDUST CHOLLIMA มากกว่า เนื่องจากมัลแวร์ ZshBucket รุ่นใหม่มีความซับซ้อนทางเทคนิคมากกว่ามัลแวร์ที่กลุ่ม FAMOUS CHOLLIMA มักใช้

เป้าหมายของการโจมตีครั้งนี้ยังไม่ชัดเจน ไลบรารี Axios ถูกดาวน์โหลดมากกว่า 100,000 ครั้งต่อสัปดาห์ กลุ่ม STARDUST CHOLLIMA มุ่งเน้นการสร้างรายได้และมักโจมตีผู้ถือสกุลเงินดิจิทัล รวมถึงเคยโจมตีซัพพลายเชนของ npm และ PyPi ของบริษัทฟินเทคมาก่อน


ภาพรวมและแนวโน้ม

ตั้งแต่ไตรมาสสุดท้ายของปี 2568 เป็นต้นมา STARDUST CHOLLIMA มีอัตราการดำเนินการที่เพิ่มสูงขึ้นอย่างต่อเนื่อง การโจมตีซัพพลายเชนครั้งนี้ด้วยมัลแวร์ ZshBucket รุ่นใหม่ เป็นหลักฐานที่ชี้ว่ากลุ่มมีแผนจะขยายการดำเนินการในระยะใกล้

background pattern

Reference

CrowdStrike

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด