104/68 (IT) ประจำวันจันทร์ที่ 17 มีนาคม 2568
นักวิจัยด้านความปลอดภัยไซเบอร์พบแคมเปญโจมตีที่ใช้แพ็กเกจปลอมใน Python Package Index (PyPI) เพื่อขโมยข้อมูลสำคัญ เช่น โทเค็นการเข้าถึงระบบคลาวด์ โดยบริษัท ReversingLabs ReversingLabs ระบุว่าพบแพ็กเกจอันตรายจำนวน 2 ชุด รวม 20 รายการ ซึ่งถูกดาวน์โหลดไปแล้วกว่า 14,100 ครั้ง ก่อนถูกลบออกจาก PyPI โดยแพ็กเกจที่ได้รับความนิยมมากที่สุด ได้แก่
– acloud-client (5,496 ดาวน์โหลด)
– snapshot-photo (2,448 ดาวน์โหลด)
– enumer-iam (1,254 ดาวน์โหลด)
– credential-python-sdk (1,155 ดาวน์โหลด)
จากการวิเคราะห์พบว่าแพ็กเกจเหล่านี้ ถูกออกแบบมาเพื่ออัปโหลดข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยบางรายการปลอมเป็นไลบรารีที่เกี่ยวข้องกับระบบคลาวด์ เช่น Alibaba Cloud, Amazon Web Services (AWS) และ Tencent Cloud และพบว่าบางแพ็กเกจถูกใช้เป็น dependencies ในโปรเจกต์ GitHub ยอดนิยมที่ชื่อว่า “accesskey_tools” ซึ่งอาจทำให้ผู้ใช้ที่ไม่ระวังตกเป็นเหยื่อโดยไม่รู้ตัว
การเปิดเผยครั้งนี้เกิดขึ้นพร้อมกับรายงานของ Fortinet FortiGuard Labs ที่พบแพ็กเกจต้องสงสัยจำนวนมากใน PyPI และ npm บางรายการมีสคริปต์แอบแฝงเพื่อติดต่อกับเซิร์ฟเวอร์ควบคุม (C&C) หรือดาวน์โหลดมัลแวร์เพิ่มเติม นักวิจัยเตือนให้ นักพัฒนาตรวจสอบแพ็กเกจก่อนติดตั้ง และระมัดระวัง URL ที่เชื่อมต่อกับแพ็กเกจเหล่านี้ เพื่อลดความเสี่ยงในการถูกโจมตีทางไซเบอร์
แหล่งข่าว https://thehackernews.com/2025/03/malicious-pypi-packages-stole-cloud.html
