แฮกเกอร์เกาหลีเหนือปล่อยแพ็กเกจ npm ที่เป็นอันตราย 26 รายการ
แฮกเกอร์ชาวเกาหลีเหนือเผยแพร่แพ็กเกจ npm ที่เป็นอันตราย 26 รายการในเดือนมีนาคม 2026 โดยใช้ Pastebin เพื่อซ่อนเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) และโจมตีนักพัฒนาซอฟต์แวร์ด้านคริปโตเคอร์เรนซี
สรุปด่วน
สรุปสร้างโดย AI ตรวจสอบโดยห้องข่าว
แฮกเกอร์ชาวเกาหลีเหนืออัปโหลดแพ็กเกจพัฒนา npm ที่เป็นอันตรายจำนวน 26 รายการ
ไลบรารีที่ติดมัลแวร์จะซ่อนมัลแวร์ RAT เพื่อขโมยคีย์ SSH
กลุ่ม Chollima ที่มีชื่อเสียงโจมตีนักพัฒนา Web3 ผ่านการโจมตีห่วงโซ่อุปทาน
สคริปต์ที่เป็นอันตรายจะสแกนระบบเพื่อค้นหาข้อมูลลับของกระเป๋าเงินคริปโตที่รั่วไหล
ภัยคุกคามใหม่ในซัพพลายเชนทำให้นักพัฒนาต้องเฝ้าระวัง นักวิจัยด้านความปลอดภัยเตือนว่าแฮกเกอร์จากเกาหลีเหนือได้อัปโหลดแพ็กเกจอันตราย 26 รายการลงใน registry ของ npm โดยมีเป้าหมายเพื่อโจมตีเครื่องของนักพัฒนาและขโมยข้อมูลสำคัญ
GoPlus 中文社区发推提醒,朝鲜黑客向 npm 注册表发布了一组 26 个恶意软件包,这些恶意软件包都附带一个安装脚本(install.js),该脚本会在软件包安装过程中自动执行,进而运行位于“vendor/scrypt-js/version.js”中的恶意代码,…
— 吴说区块链 (@wublockchain12) March 3, 2026
คำเตือนนี้ที่เผยแพร่โดยชุมชน GoPlus เมื่อวันที่ 3 มีนาคม เชื่อมโยงการโจมตีครั้งนี้กับกลุ่มแฮกเกอร์ที่รู้จักกันดี “Famous Chollima” ตามรายงาน แพ็กเกจเหล่านี้ซ่อน Trojan สำหรับเข้าถึงระยะไกล (RAT) ที่จะทำงานระหว่างการติดตั้ง เหตุการณ์นี้แสดงให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นในระบบโอเพ่นซอร์ส โดยเฉพาะสำหรับนักพัฒนา Web3 และคริปโต
แพ็กเกจอันตรายซ่อนอยู่ในที่ชัดเจน
นักวิจัยกล่าวว่าผู้โจมตีได้เผยแพร่แพ็กเกจปลอม 26 รายการ ซึ่งเลียนแบบเครื่องมือสำหรับนักพัฒนาที่ถูกต้องตามกฎหมาย โดยเฉพาะไลบรารีสำหรับ linting และยูทิลิตี้แต่ละแพ็กเกจมีสคริปต์ install.js ที่รันอัตโนมัติเมื่อแพ็กเกจถูกติดตั้ง เมื่อสคริปต์ทำงาน จะเรียกใช้งานโค้ดที่ซ่อนอยู่ใน vendor/scrypt-js/version.js โค้ดนี้จะดาวน์โหลด Trojan สำหรับเข้าถึงระยะไกลจาก URL อันตรายอย่างเงียบ ๆ
เนื่องจากการติดตั้ง npm มักทำงานอัตโนมัติในสภาพแวดล้อมการพัฒนา ผู้ใช้หลายคนอาจไม่สังเกตเห็นการติดเชื้อ นักวิเคราะห์ความปลอดภัยระบุว่ากลยุทธ์นี้ได้ผลเพราะใช้ประโยชน์จากเวิร์กโฟลว์ปกติของนักพัฒนา สรุปคือ มัลแวร์มาปรากฏตัวในรูปแบบเครื่องมือปกติ
มัลแวร์สามารถทำอะไรได้บ้าง
RAT ที่ฝังอยู่ช่วยให้ผู้โจมตีเข้าถึงระบบที่ติดเชื้อได้ลึก ตามคำเตือนของ GoPlus มัลแวร์สามารถทำงานอันตรายหลายอย่าง เช่น บันทึกการกดแป้นพิมพ์ ขโมยข้อมูลคลิปบอร์ด และเก็บข้อมูลประจำตัวในเบราว์เซอร์ นอกจากนี้ยังสแกนระบบด้วย TruffleHog เพื่อหาความลับที่เปิดเผย ในกรณีร้ายแรง มันอาจพยายามขโมย repository ของ Git และกุญแจ SSH สำหรับนักพัฒนาคริปโต ความเสี่ยงยิ่งสูงขึ้น เนื่องจากกุญแจหรือข้อมูลประจำตัวที่ถูกขโมยอาจนำไปสู่การเจาะกระเป๋าเงินหรือโครงการโดยตรง นั่นเป็นเหตุผลที่ทีมความปลอดภัยประเมินว่าการโจมตีครั้งนี้มีความรุนแรงสูง
การเชื่อมโยงกับกลุ่ม Famous Chollima
นักสืบเชื่อมโยงกิจกรรมนี้กับการโจมตีของเกาหลีเหนือที่รู้จักในชื่อ Famous Chollima ซึ่งเป็นกลุ่มที่บริษัทด้านความปลอดภัยติดตามมาตั้งแต่ปี 2018 กลุ่มนี้มีประวัติในการโจมตีผู้พัฒนา โครงการคริปโต และแพลตฟอร์มการเงิน
การวิเคราะห์ล่าสุดชี้ว่าการโจมตีครั้งนี้ใช้เทคนิคการปิดบังขั้นสูง บางรายงานกล่าวถึงวิธี steganography ที่ซ่อนข้อมูลคำสั่งและการควบคุมในข้อความที่ดูเหมือนไม่เป็นอันตราย โครงสร้างพื้นฐานของมัลแวร์ยังถูกกระจายอยู่ในหลายบริการโฮสติ้ง ทำให้การลบทำได้ยาก รูปแบบนี้สอดคล้องกับปฏิบัติการของเกาหลีเหนือก่อนหน้านี้ ซึ่งมุ่งเน้นการแทรกซึมระยะยาว มากกว่าการโจมตีอย่างรวดเร็ว
นักพัฒนาถูกเตือนให้ระมัดระวัง
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้นักพัฒนาตรวจสอบแหล่งที่มาของแพ็กเกจก่อนติดตั้ง dependency แม้แต่โปรเจกต์เล็กก็อาจกลายเป็นจุดเริ่มต้นของการละเมิดซัพพลายเชนที่ใหญ่ขึ้น GoPlus เตือนผู้ใช้ให้หลีกเลี่ยงแพ็กเกจที่ถูกติดธง และตรวจสอบ dependency tree อย่างรอบคอบ ทีมงานยังถูกแนะนำให้เปิดใช้งาน lockfile เครื่องมือ audit และการตรวจสอบ runtime
เหตุการณ์นี้เป็นอีกครั้งที่เตือนว่า ecosystem แบบโอเพ่นซอร์สยังคงเป็นเป้าหมายหลักของแฮกเกอร์ที่มีความเชื่อมโยงกับรัฐ เมื่อการพัฒนา Web3 และคริปโตเติบโต ความเสี่ยงก็เพิ่มขึ้น สำหรับตอนนี้ ผู้เชี่ยวชาญแนะนำให้รักษาความปลอดภัยพื้นฐาน ตรวจสอบแพ็กเกจ และจำกัดความเชื่อถือ ซึ่งยังคงเป็นแนวทางป้องกันที่ดีที่สุด
ติดตามเราบน Google News
รับข้อมูลเชิงลึกและการอัปเดตคริปโตล่าสุด
