ผู้ดูแล Axios ระบุถูกคนหลอกให้ติดตั้งโปรแกรมเพื่อเข้าประชุม เครื่องจึงถูกแฮก
Body
จากข่าวก่อนหน้า ที่มีการตรวจพบมัลแวร์ใน axios ซึ่งเป็น library ยอดนิยม และมีการปล่อยแพ็กเกจอันตรายขึ้น npm ล่าสุด Jason Saayman ผู้ดูแลโครงการได้ออกมาเปิดเผยรายละเอียดเหตุการณ์ (Post Mortem) ตั้งแต่จุดเริ่มต้นของการโจมตีว่า ไม่ได้มาจากช่องโหว่ทางเทคนิคโดยตรง แต่เป็นการทำ social engineering ที่ออกแบบมาเฉพาะตัวเขา โดยมีลำดับเหตุการณ์ตามนี้
เหตุการณ์นี้ทำให้คนที่โจมตีสามารถใช้สิทธิ์ของผู้ดูแล ในการ publish แพ็กเกจที่ถูกฝังมัลแวร์ขึ้น npm ได้ และแม้ช่วงเวลาที่แพ็กเกจอันตรายจะอยู่บนระบบจะสั้น แต่ด้วยการใช้งานของ axios ที่แพร่หลาย จึงมีโอกาสกระทบ downstream จำนวนมากใน ecosystem ทันที แต่โชคยังดีอยู่บ้างที่เหตุการณ์นี้ถูกตรวจสอบเจอและปิดช่องโหว่ได้ภายในเวลาไม่กี่ชั่วโมง ตามลำดับเหตุการณ์
ที่มา: axios issue#10636
wittawasw Sat, 04/04/2026 - 20:07
Continue reading...
Body
จากข่าวก่อนหน้า ที่มีการตรวจพบมัลแวร์ใน axios ซึ่งเป็น library ยอดนิยม และมีการปล่อยแพ็กเกจอันตรายขึ้น npm ล่าสุด Jason Saayman ผู้ดูแลโครงการได้ออกมาเปิดเผยรายละเอียดเหตุการณ์ (Post Mortem) ตั้งแต่จุดเริ่มต้นของการโจมตีว่า ไม่ได้มาจากช่องโหว่ทางเทคนิคโดยตรง แต่เป็นการทำ social engineering ที่ออกแบบมาเฉพาะตัวเขา โดยมีลำดับเหตุการณ์ตามนี้
- ทักมาหาโดยปลอมตัวเป็น founder ของบริษัทแห่งหนึ่ง ซึ่งเลียนแบบทั้งตัวตนและตัวบริษัท
- เชิญเข้า Slack workspace ที่มี branding, channel และ activity ของบริษัทนั้นอย่างสมจริง
- ยกตัวอย่าง เช่น ใน Slack ก็มีการแชร์โพสต์ LinkedIn ที่ลิงก์ไปยังบัญชีจริงของบริษัทนั้นด้วย
- มีการปลอม account ทีมงานและผู้ดูแล OSS หลายคนเพื่อสร้างความน่าเชื่อถือ
- นัดประชุมผ่าน Microsoft Teams พร้อมผู้เข้าร่วมหลายคน
- ระบบประชุมขึ้นเตือนว่าบางอย่าง outdated และต้องติดตั้งซอฟต์แวร์เพื่อให้เข้าประชุมได้
- ซอฟต์แวร์ดังกล่าวคือ RAT (remote access trojan) ที่ใช้ในการเข้าถึงเครื่องและ credential นั้นเอง
เหตุการณ์นี้ทำให้คนที่โจมตีสามารถใช้สิทธิ์ของผู้ดูแล ในการ publish แพ็กเกจที่ถูกฝังมัลแวร์ขึ้น npm ได้ และแม้ช่วงเวลาที่แพ็กเกจอันตรายจะอยู่บนระบบจะสั้น แต่ด้วยการใช้งานของ axios ที่แพร่หลาย จึงมีโอกาสกระทบ downstream จำนวนมากใน ecosystem ทันที แต่โชคยังดีอยู่บ้างที่เหตุการณ์นี้ถูกตรวจสอบเจอและปิดช่องโหว่ได้ภายในเวลาไม่กี่ชั่วโมง ตามลำดับเหตุการณ์
- ประมาณ 2 สัปดาห์ก่อนวันที่ 31 มีนาคม มีการเริ่ม social engineering campaign กับผู้ดูแลระบบ
- วันที่ 30 มีนาคม เวลา 05:57 UTC มีการปล่อย plain-crypto-js 4.2.0 ขึ้น npm
- วันที่ 31 มีนาคม เวลา 00:21 UTC มีการปล่อย axios 1.14.1 พร้อม plain-crypto-js 4.2.1
- ราว 01:00 UTC มีการปล่อย axios 0.30.4 พร้อม payload เดียวกัน
- ราว 01:00 UTC เริ่มมีการตรวจพบจากภายนอก และมีผู้ใช้เปิด issue แจ้งเหตุ แต่ issue ถูกลบผ่านบัญชีที่ถูกยึด
- เวลา 01:38 UTC ผู้ร่วมโครงการอีกคนเปิด PR เพื่อ deprecate เวอร์ชันที่ถูก compromise และติดต่อ npm โดยตรง
- เวลา 03:15 UTC เวอร์ชันอันตรายของ axios ถูกลบออกจาก npm
- เวลา 03:29 UTC plain-crypto-js ถูกลบออกจาก npm
ที่มา: axios issue#10636
wittawasw Sat, 04/04/2026 - 20:07
Continue reading...