99/68 (IT) ประจำวันพฤหัสบดีที่ 13 มีนาคม 2568
กลุ่มแฮกเกอร์ Lazarus ซึ่งได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ กลับมาเคลื่อนไหวอีกครั้ง โดยใช้กลยุทธ์ “typosquatting” สร้างแพ็คเกจ npm ปลอมที่มีชื่อใกล้เคียงกับแพ็คเกจยอดนิยม เพื่อหลอกให้นักพัฒนาดาวน์โหลดและติดตั้งมัลแวร์ นักวิจัยจาก Socket Research Team พบว่ามีแพ็คเกจอันตราย 6 รายการ ถูกดาวน์โหลดไปแล้วกว่า 330 ครั้ง โดยมัลแวร์ที่แฝงตัวอยู่สามารถขโมยข้อมูลการเข้าสู่ระบบ ข้อมูลสกุลเงินดิจิทัล และติดตั้งแบ็คดอร์เพื่อเข้าถึงระบบในระยะยาว
มัลแวร์ดังกล่าวไม่เพียงแค่รวบรวมข้อมูลระบบและรหัสผ่านจากเบราว์เซอร์ เช่น Chrome และ Firefox แต่ยังพุ่งเป้าไปที่ไฟล์กระเป๋าเงินดิจิทัลของ Solana และ Exodus เพื่อลอบขโมยสินทรัพย์ดิจิทัล Ensar Seker หัวหน้าฝ่ายความปลอดภัยของ SOCRadar ระบุว่าแคมเปญนี้สะท้อนกลยุทธ์ของเกาหลีเหนือที่มุ่งโจมตีแพลตฟอร์มการเงินเพื่อระดมทุนให้กับรัฐบาล นอกจากนี้ แพ็คเกจปลอมยังสามารถเปิดช่องทางให้แฮกเกอร์เข้าถึงข้อมูลสำคัญ เช่น คีย์ SSH และโทเค็นสำหรับบริการคลาวด์ อาจนำไปสู่การเจาะระบบองค์กรในวงกว้าง
แม้ว่าทาง GitHub จะทำการลบแพ็คเกจอันตรายทั้งหมดแล้ว แต่ภัยคุกคามจากการโจมตีห่วงโซ่อุปทานยังคงอยู่ นักพัฒนาควรเพิ่มความระมัดระวัง โดยตรวจสอบชื่อเสียงของแพ็คเกจก่อนติดตั้ง ใช้เครื่องมือสแกนความปลอดภัย เช่น Socket AI Scanner และเปิดใช้งานการป้องกันหลายชั้น องค์กรควรใช้ระบบอัตโนมัติในการตรวจสอบแพ็คเกจบุคคลที่สาม รวมถึงอบรมทีมงานให้ระวังชื่อแพ็คเกจที่น่าสงสัย เพื่อป้องกันการตกเป็นเป้าหมายของแฮกเกอร์
แหล่งข่าว https://hackread.com/lazarus-group-backdoor-fake-npm-packages-attack/
