ปลอมตัวเป็นเครื่องมือ PostCSS! แพ็กเกจ npm มุ่งร้ายส่ง RAT สู่ Windows
นักวิจัยพบแพ็กเกจ npm มุ่งร้าย 3 รายการ ปลอมเป็นเครื่องมือ PostCSS ดาวน์โหลดรวมกว่า 1,000 ครั้ง ส่ง RAT เข้า Windows ต้องระวังก่อนติดตั้ง
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ได้ตรวจพบแพ็กเกจ npm ที่เป็นอันตรายจำนวนหนึ่ง ซึ่งถูกออกแบบมาเพื่อส่งมอบโทรจันควบคุมระยะไกลบนระบบปฏิบัติการ Windows โดยเฉพาะ
แพ็กเกจเหล่านี้ถูกเผยแพร่ในช่วงเดือนที่ผ่านมา โดยผู้ใช้ npm รายหนึ่ง ซึ่งปัจจุบันอยู่ระหว่างการสอบสวนของทีมรักษาความปลอดภัยของ npm
รายชื่อแพ็กเกจอันตราย
รายชื่อแพ็กเกจที่ถูกระบุว่ามุ่งร้ายมีทั้งหมด 3 รายการ ดังนี้
- aes-decode-runner-pro มียอดดาวน์โหลด 145 ครั้ง
- postcss-minify-selector มียอดดาวน์โหลด 256 ครั้ง
- postcss-minify-selector-parser มียอดดาวน์โหลด 615 ครั้ง
แพ็กเกจทั้งหมดถูกอัปโหลดโดยผู้ใช้ npm คนเดียวกัน ซึ่งแสดงให้เห็นถึงความพยายามในการกระจายมัลแวร์ผ่านหลายบัญชี
กลยุทธ์การปลอมแปลง
ผู้ไม่หวังดีใช้กลยุทธ์การแอบอ้างเป็นเครื่องมือยอดนิยมอย่าง PostCSS ซึ่งเป็นที่รู้จักในวงการพัฒนาเว็บไซต์ ทำให้นักพัฒนาหลายรายอาจเข้าใจผิดและติดตั้งแพ็กเกจเหล่านี้โดยไม่ทันระวัง
ชื่อแพ็กเกจถูกตั้งให้คล้ายคลึงกับเครื่องมือที่มีอยู่จริง เพื่อหลอกให้นักพัฒนาดาวน์โหลดโดยไม่ต้องตรวจสอบแหล่งที่มาอย่างละเอียด
ผลกระทบต่อระบบ Windows
เมื่อติดตั้งแล้ว แพ็กเกจเหล่านี้จะทำงานในเบื้องหลังเพื่อดาวน์โหลดและรันเพย์โหลดที่เป็นอันตราย ส่งผลให้ผู้โจมตีสามารถควบคุมเครื่องคอมพิวเตอร์ของเหยื่อจากระยะไกลได้อย่างสมบูรณ์
RAT หรือ Remote Access Trojan ที่ถูกส่งมอบสามารถขโมยข้อมูลสำคัญ ติดตั้งมัลแวร์เพิ่มเติม และใช้เครื่องของเหยื่อเป็นฐานในการโจมตีต่อได้
แนวทางป้องกันสำหรับนักพัฒนา
นักพัฒนาควรตรวจสอบชื่อแพ็กเกจและผู้เผยแพร่ก่อนติดตั้งทุกครั้ง รวมถึงตรวจสอบคะแนนความน่าเชื่อถือและจำนวนผู้ใช้งานจริง เพื่อลดความเสี่ยงจากแพ็กเกจปลอม
การใช้เครื่องมือตรวจจับมัลแวร์ในขั้นตอน CI/CD และการอัปเดตนโยบายความปลอดภัยขององค์กรเป็นระยะ จะช่วยป้องกันภัยคุกคามลักษณะนี้ได้ดียิ่งขึ้น
Reference
The Hacker News
หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINEดูสินค้าทั้งหมด