แฮกเกอร์ STARDUST CHOLLIMA ใช้ข้อมูลผู้ดูแลปลอมแปลงแพ็กเกจ Axios npm

เมื่อวันที่ 31 มีนาคม 2569 กลุ่มผู้คุกคามที่รู้จักกันในชื่อ STARDUST CHOLLIMA ใช้ข้อมูลประจำตัวของผู้ดูแลที่ถูกขโมยเพื่อแทรกซึมแพ็กเกจไลบรารี Axios บน npm ซึ่งเป็นไลบรารี HTTP ไคลเอนต์ที่ได้รับความนิยมสูง

พวกเขาปล่อยมัลแวร์รุ่นใหม่ที่เรียกว่า ZshBucket ซึ่งสามารถทำงานบนระบบปฏิบัติการ Linux, macOS และ Windows ได้

การอัปเดตมัลแวร์ ZshBucket

มัลแวร์ ZshBucket รุ่นใหม่นี้มีการพัฒนาความสามารถอย่างมีนัยสำคัญเมื่อเทียบกับรุ่นก่อนหน้า โดยมีการปรับปรุงโปรโตคอลการสื่อสารให้เป็นรูปแบบ JSON ที่ใช้ร่วมกันได้ทุกแพลตฟอร์ม

นอกจากนี้ยังเพิ่มคำสั่งใหม่ที่ช่วยให้ผู้โจมตีสามารถฉีดเพย์โหลดไบนารี รันสคริปต์และคำสั่งใดๆ ก็ได้ สำรวจระบบไฟล์ และปิดการทำงานของมัลแวร์จากระยะไกลได้ ซึ่งแทนที่ฟังก์ชันดาวน์โหลดและรันแบบง่ายในรุ่นก่อน

โครงสร้างพื้นฐานที่เกี่ยวข้อง

โดเมน sfrclak[.]com ที่ใช้เป็นเซิร์ฟเวอร์ควบคุมและสั่งการ C2 แชร์ลักษณะเฉพาะกับที่อยู่ IP อื่นๆ ที่เชื่อมโยงกับการดำเนินงานของ STARDUST CHOLLIMA และกลุ่ม FAMOUS CHOLLIMA

การที่โครงสร้างพื้นฐานซ้อนทับกันระหว่างกลุ่มผู้คุกคามสองกลุ่มนี้ ทำให้การประเมินความเชื่อมั่นในการระบุตัวผู้โจมตีอยู่ในระดับปานกลาง

เป้าหมายและแรงจูงใจ

เป้าหมายที่แท้จริงของการโจมตีครั้งนี้ยังไม่ชัดเจน เนื่องจากแพ็กเกจ Axios ถูกดาวน์โหลดมากกว่า 100,000 ครั้งต่อสัปดาห์

อย่างไรก็ตาม STARDUST CHOLLIMA มีประวัติการโจมตีซัพพลายเชนที่มุ่งเป้าไปที่บริษัทด้านการเงินและเทคโนโลยีการเงิน โดยมีแรงจูงใจหลักในการสร้างรายได้ผ่านการขโมยคริปโตเคอร์เรนซี

แนวโน้มการขยายตัว

ตั้งแต่ปลายไตรมาสที่ 4 ของปี 2565 เป็นต้นมา STARDUST CHOLLIMA มีอัตราการดำเนินการที่เพิ่มสูงขึ้นอย่างต่อเนื่อง

การโจมตีซัพพลายเชนครั้งนี้ด้วยมัลแวร์ ZshBucket รุ่นที่อัปเดตแล้ว เป็นหลักฐานเพิ่มเติมที่บ่งชี้ว่ากลุ่มนี้มีแผนจะขยายการดำเนินการในระยะใกล้

Reference

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th