แฮกเกอร์ใช้โดเมน npmjs dot help ส่งเมลหลอกผู้ดูแลแพ็กเกจ แทรกโค้ดดักข้อมูลในเบราว์เซอร์
Body
สัปดาห์ที่ผ่านมาผู้ดูแลแพ็กเกจบน NPM จำนวนมากถูกส่งเมลหลอกเพื่อยึดบัญชี โดยมีอย่างน้อย 18 แพ็กเกจที่ผู้ดูแลถูกคนร้ายยึดบัญชี NPM แล้วปล่อยเวอร์ชั่นใหม่แทรกโค้ดมุ่งร้าย โมดูลใหญ่ๆ เช่น debug (ยอดดาวน์โหลดสัปดาห์ละ 350 ล้านครั้ง) ก็มีเวอร์ชั่นใหม่ออกมาโดยคนร้ายแทรกโค้ดมุ่งร้ายเข้าไป
คนร้ายอาศัยโดเมน npmjs dot help ที่เพิ่งจดทะเบียนใหม่ส่งเมลหลอกผู้ดูแลแพ็กเกจว่าต้องการอัพเดตการล็อกอินสองขั้นตอน ทำให้ผู้ดูแลแพ็กเกจที่หลงเชื่อใส่ทั้งรหัสผ่านและ OTP
โค้ดที่คนร้ายแทรกเข้ามาพยายามแทรกการยิง API เช่น
ตอนนี้แพ็กเกจแทบทั้งหมดถูกถอดออกหมดแล้วแต่หากใครติดตั้งแพ็กเกจในช่วงสองวันที่ผ่านมาโดยสั่งอัพเดตก็อาจจะต้องตรวจสอบกันใหม่ว่ามีโค้ดมุ่งร้ายติดเข้ามาหรือไม่
แนวทางการแทรกโค้ดเข้าไลบรารียอดนิยมเป็นแนวทางที่เกิดขึ้นบ่อยขึ้นในช่วงหลัง เพราะคนร้ายสามารถโจมตีเป็นวงกว้างอย่างมากจากการโจมตีครั้งเดียว เช่น เมื่อปี 2021 ไลบรารีี
ที่มา - Aikido
lew Tue, 09/09/2025 - 23:02
Continue reading...
Body
สัปดาห์ที่ผ่านมาผู้ดูแลแพ็กเกจบน NPM จำนวนมากถูกส่งเมลหลอกเพื่อยึดบัญชี โดยมีอย่างน้อย 18 แพ็กเกจที่ผู้ดูแลถูกคนร้ายยึดบัญชี NPM แล้วปล่อยเวอร์ชั่นใหม่แทรกโค้ดมุ่งร้าย โมดูลใหญ่ๆ เช่น debug (ยอดดาวน์โหลดสัปดาห์ละ 350 ล้านครั้ง) ก็มีเวอร์ชั่นใหม่ออกมาโดยคนร้ายแทรกโค้ดมุ่งร้ายเข้าไป
คนร้ายอาศัยโดเมน npmjs dot help ที่เพิ่งจดทะเบียนใหม่ส่งเมลหลอกผู้ดูแลแพ็กเกจว่าต้องการอัพเดตการล็อกอินสองขั้นตอน ทำให้ผู้ดูแลแพ็กเกจที่หลงเชื่อใส่ทั้งรหัสผ่านและ OTP
โค้ดที่คนร้ายแทรกเข้ามาพยายามแทรกการยิง API เช่น
fetch และ XMLHttpRequest ให้ไปฟังก์ชั่นของคนร้ายแทรและส่งข้อมูลคริปโตไปยังเซิร์ฟเวอร์คนร้ายตอนนี้แพ็กเกจแทบทั้งหมดถูกถอดออกหมดแล้วแต่หากใครติดตั้งแพ็กเกจในช่วงสองวันที่ผ่านมาโดยสั่งอัพเดตก็อาจจะต้องตรวจสอบกันใหม่ว่ามีโค้ดมุ่งร้ายติดเข้ามาหรือไม่
แนวทางการแทรกโค้ดเข้าไลบรารียอดนิยมเป็นแนวทางที่เกิดขึ้นบ่อยขึ้นในช่วงหลัง เพราะคนร้ายสามารถโจมตีเป็นวงกว้างอย่างมากจากการโจมตีครั้งเดียว เช่น เมื่อปี 2021 ไลบรารีี
ua-parser-js ก็ถูกแฮกแบบเดียวกันที่มา - Aikido
lew Tue, 09/09/2025 - 23:02
Continue reading...