axios ไลบรารี HTTP ยอดนิยมถูกฝังมัลแวร์ เปิดทางคนร้ายคุมเครื่องทุกเครื่องที่ติดตั้ง
Body
axios ไลบรารี HTTP ที่ได้รับความนิยมสูงมาก และมีอัตราการติดตั้งถึง 100 ล้านครั้งต่อสัปดาห์ถูกคนร้ายฝังมัลแวร์ได้สำเร็จและวางเป็นเวอร์ชัน 1.14.1 และ 0.30.4 เป็นช่วงเวลาประมาณสองชั่วโมงครึ่ง โดยในมัลแวร์เป็น remote access trojan (RAT) ที่สามารถควบคุมเครื่องของนักพัฒนาทุกคนที่ได้ติดตั้งเวอร์ชันมุ่งร้ายนี้ไป
แนวทางของคนร้ายคือการไปสร้างแพ็กเกจฝังมัลแวร์ของตัวเองเอาไว้ ชื่อว่า plain-crypto-js จากนั้นไปแก้ dependency ของ axios ให้ดาวน์โหลดแพ็กเกจเข้าไปด้วย
โดยปกติแล้ว axios จะถูกสร้างแพ็กเกจใหม่ด้วย GitHub Actions แต่เวอร์ชันนี้เป็นบัญชีที่ใช้อีเมล [email protected] ตรงๆ เมื่อเหยื่อติดตั้ง axios เวอร์ชันมุ่งร้ายนี้ สคริปต์ติดตั้งจะดาวน์โหลดมัลแวร์มาติดตั้งอีกที ทำให้ในตัวโค้ดไม่ได้มีมัลแวร์โดยตรง
มัลแวร์เชื่อมต่อไปยัง sfrclak.com:8000 ทำให้องค์กรสามารถตรวจสอบการเข้าถึงเน็ตเวิร์คได้
ที่มา - StepSecurity
lew Wed, 01/04/2026 - 08:23
Continue reading...
Body
axios ไลบรารี HTTP ที่ได้รับความนิยมสูงมาก และมีอัตราการติดตั้งถึง 100 ล้านครั้งต่อสัปดาห์ถูกคนร้ายฝังมัลแวร์ได้สำเร็จและวางเป็นเวอร์ชัน 1.14.1 และ 0.30.4 เป็นช่วงเวลาประมาณสองชั่วโมงครึ่ง โดยในมัลแวร์เป็น remote access trojan (RAT) ที่สามารถควบคุมเครื่องของนักพัฒนาทุกคนที่ได้ติดตั้งเวอร์ชันมุ่งร้ายนี้ไป
แนวทางของคนร้ายคือการไปสร้างแพ็กเกจฝังมัลแวร์ของตัวเองเอาไว้ ชื่อว่า plain-crypto-js จากนั้นไปแก้ dependency ของ axios ให้ดาวน์โหลดแพ็กเกจเข้าไปด้วย
โดยปกติแล้ว axios จะถูกสร้างแพ็กเกจใหม่ด้วย GitHub Actions แต่เวอร์ชันนี้เป็นบัญชีที่ใช้อีเมล [email protected] ตรงๆ เมื่อเหยื่อติดตั้ง axios เวอร์ชันมุ่งร้ายนี้ สคริปต์ติดตั้งจะดาวน์โหลดมัลแวร์มาติดตั้งอีกที ทำให้ในตัวโค้ดไม่ได้มีมัลแวร์โดยตรง
มัลแวร์เชื่อมต่อไปยัง sfrclak.com:8000 ทำให้องค์กรสามารถตรวจสอบการเข้าถึงเน็ตเวิร์คได้
ที่มา - StepSecurity
lew Wed, 01/04/2026 - 08:23
Continue reading...