เจ็ดแพ็กเกจอันตรายบน npm ปลอมเป็น Vite ใช้บล็อกเชนเป็น C2 ส่งมอบ RAT
ค้นพบแพ็กเกจ npm อันตราย 7 ตัวปลอมเป็น Vite ใช้บล็อกเชน Tron เป็น C2 ส่ง RAT เข้าเครื่องเหยื่อ นักวิจัยชี้เป็นการโจมตีซัพพลายเชนที่ซับซ้อน
นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Checkmarx ค้นพบแพ็กเกจ npm ที่เป็นอันตรายจำนวนเจ็ดรายการ ซึ่งปลอมแปลงเป็นเครื่องมือพัฒนา Vite เพื่อโจมตีซัพพลายเชนซอฟต์แวร์ แคมเปญนี้ถูกตั้งชื่อรหัสว่า ViteVenom และถือเป็นการขยายขอบเขตของกลุ่มที่เคยใช้โครงสร้างพื้นฐานบล็อกเชนแบบสี่ชั้นในการควบคุม
การโจมตีนี้ใช้เทคโนโลยีบล็อกเชนบนเครือข่าย Tron เป็นช่องทางสั่งการและควบคุม หรือ C2 ซึ่งนับว่าเป็นวิธีการที่ไม่เคยปรากฏมาก่อนในวงการ ความซับซ้อนของโครงสร้างทำให้การตรวจจับและป้องกันทำได้ยากขึ้นอย่างมาก
รายละเอียดการโจมตี ViteVenom
แพ็กเกจทั้งเจ็ดตัวถูกออกแบบมาเพื่อเลียนแบบเครื่องมือ Vite ซึ่งเป็นที่นิยมในกลุ่มนักพัฒนาฟร้อนท์เอนด์ เมื่อผู้ใช้ติดตั้งแพ็กเกจเหล่านี้ ระบบจะทำการดึงข้อมูลมัลแวร์จากเครือข่ายบล็อกเชน Tron และติดตั้ง RAT หรือRemote Access Trojan บนเครื่องของเหยื่อ
RAT ดังกล่าวเปิดช่องให้ผู้โจมตีสามารถควบคุมเครื่องที่ติดเชื้อจากระยะไกล ขโมยข้อมูลสำคัญ และใช้เป็นฐานในการโจมตีต่อไป นักวิจัยระบุว่าแคมเปญนี้สืบทอดเทคนิคจากกลุ่ม ChainVeil ที่เคยใช้โครงสร้าง C2 แบบสี่ชั้นมาก่อน
โครงสร้างบล็อกเชนแบบสี่ชั้น
หนึ่งในจุดเด่นของ ViteVenom คือการใช้บล็อกเชนในการซ่อนคำสั่งควบคุม ซึ่งแตกต่างจาก C2 ทั่วไปที่ใช้เซิร์ฟเวอร์หรือโดเมน โครงสร้างแบบสี่ชั้นของแคมเปญนี้ช่วยให้ผู้โจมตีสามารถเปลี่ยนเส้นทางการสื่อสารได้ตลอดเวลา ทำให้การบล็อกทำได้ยาก
นักวิจัยพบว่าข้อมูลคำสั่งถูกเข้ารหัสและเก็บไว้ในธุรกรรมบนเครือข่าย Tron เมื่อมัลแวร์ต้องการรับคำสั่ง มันจะอ่านข้อมูลจากบล็อกเชนโดยตรง โดยไม่ต้องเชื่อมต่อกับเซิร์ฟเวอร์กลาง ซึ่งทำให้หลบเลี่ยงระบบตรวจจับได้อย่างมีประสิทธิภาพ
ผลกระทบต่อวงการพัฒนา
การค้นพบนี้ส่งสัญญาณเตือนไปยังนักพัฒนาและทีมรักษาความปลอดภัยทั่วโลก เนื่องจาก npm เป็นระบบนิเวศที่ใช้กันอย่างแพร่หลาย การมีแพ็กเกจอันตรายเจ็ดตัวที่เลียนแบบเครื่องมือยอดนิยม แสดงให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นของซัพพลายเชนซอฟต์แวร์
นักวิจัยแนะนำให้นักพัฒนาตรวจสอบแพ็กเกจที่ติดตั้งอย่างละเอียด โดยเฉพาะแพ็กเกจที่เพิ่งเผยแพร่หรือมีผู้ดาวน์โหลดน้อย รวมถึงใช้เครื่องมือสแกนความปลอดภัยเพื่อป้องกันมัลแวร์จากแหล่งที่ไม่น่าเชื่อถือ
แนวทางการป้องกัน
องค์กรและนักพัฒนาควรเพิ่มความระมัดระวังในการดาวน์โหลดไลบรารีจาก npm registry โดยควรตรวจสอบชื่อแพ็กเกจให้ตรงกับชื่อทางการ และหลีกเลี่ยงแพ็กเกจที่สะกดใกล้เคียงกับเครื่องมือที่มีชื่อเสียง
นอกจากนี้ การใช้ไฟร์วอลล์และระบบตรวจจับการบุกรุกที่สามารถวิเคราะห์พฤติกรรมการเชื่อมต่อแบบผิดปกติ จะช่วยลดความเสี่ยงจากการโจมตีที่ใช้บล็อกเชนเป็น C2 การอัปเดตซอฟต์แวร์และระบบรักษาความปลอดภัยอย่างสม่ำเสมอก็เป็นสิ่งจำเป็น
Reference
The Hacker News
หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINEดูสินค้าทั้งหมด