คำเตือนด้านความปลอดภัยจาก Slow Fog
Slow Fog ได้ออกคำเตือนด้านความปลอดภัยอย่างเร่งด่วน หลังจากที่มีการเผยแพร่แพ็คเกจ [email protected] และ [email protected] ซึ่งมีการดึงเอาขึ้นมาเป็นการพึ่งพาที่เป็นอันตราย [email protected] ทำให้หนึ่งในไคลเอนต์ HTTP ที่ใช้ JavaScript อย่างแพร่หลายกลายเป็นอาวุธในห่วงโซ่อุปทานต่อเหล่านักพัฒนา crypto โดย Axios มีการดาวน์โหลดมากกว่า 80 ล้านครั้งต่อสัปดาห์บน npm ซึ่งหมายความว่าการถูกโจมตีแม้เพียงชั่วคราวก็สามารถส่งผลกระทบต่อระบบหลังบ้านของกระเป๋าเงิน, บอทการซื้อขาย, การแลกเปลี่ยน และโครงสร้างพื้นฐาน DeFi ที่สร้างขึ้นบน Node.js
คำแนะนำจาก Slow Fog
ในคำแนะนำของ Slow Fog ได้เตือนว่า
“ผู้ใช้ที่ติดตั้ง [email protected] ผ่าน npm install -g อาจถูกเปิดเผย”
โดยแนะนำให้มีการหมุนเวียนข้อมูลประจำตัวทันทีและการตรวจสอบอย่างละเอียดที่ฝั่งโฮสต์เพื่อหาสัญญาณของการถูกโจมตี การโจมตีนี้อิงจากแพ็คเกจการเข้ารหัสปลอม [email protected] ซึ่งถูกเพิ่มเข้ามาอย่างเงียบ ๆ เป็นการพึ่งพาใหม่และใช้เพียงเพื่อดำเนินการสคริปต์ postinstall ที่ถูกปิดบังซึ่งปล่อย trojan การเข้าถึงระยะไกลข้ามแพลตฟอร์มที่มุ่งเป้าไปที่ระบบ Windows, macOS และ Linux
การวิเคราะห์จากบริษัทความปลอดภัย
บริษัทความปลอดภัย StepSecurity อธิบายว่า
“เวอร์ชันที่เป็นอันตรายทั้งสองไม่มีโค้ดที่เป็นอันตรายใน Axios เอง”
และ
“ทั้งสองจะฉีดพึ่งพาปลอม [email protected] ซึ่งมีจุดประสงค์เพียงเพื่อเรียกใช้สคริปต์ postinstall ที่ปล่อย trojan การเข้าถึงระยะไกล (RAT)”
ทีมวิจัยของ Socket ได้ตั้งข้อสังเกตว่าแพ็คเกจ plain-crypto-js ที่เป็นอันตรายถูกเผยแพร่เพียงไม่กี่นาทีก่อนการเผยแพร่ axios ที่ถูกโจมตี โดยเรียกมันว่า “การโจมตีห่วงโซ่อุปทานที่ประสานกัน” ต่อระบบนิเวศของ JavaScript
การโจมตีที่เกิดขึ้น
ตามข้อมูลจาก StepSecurity การเผยแพร่ axios ที่เป็นอันตรายถูกผลักดันโดยใช้ข้อมูลประจำตัว npm ที่ถูกขโมยซึ่งเป็นของผู้ดูแลหลัก “jasonsaayman” ทำให้ผู้โจมตีสามารถข้ามกระบวนการเผยแพร่ที่ปกติใช้ GitHub ของโครงการได้
“นี่คือการถูกโจมตีในห่วงโซ่อุปทานที่มีชีวิตใน [email protected] ซึ่งมีการพึ่งพา [email protected]—แพ็คเกจที่เผยแพร่ไม่กี่ชั่วโมงก่อนหน้านี้และถูกระบุว่าเป็นมัลแวร์ที่ถูกปิดบังซึ่งดำเนินการคำสั่ง shell และลบร่องรอย”
วิศวกรด้านความปลอดภัย Julian Harris เขียนบน LinkedIn
การตอบสนองจาก npm
ตอนนี้ npm ได้ลบเวอร์ชันที่เป็นอันตรายและย้อนกลับการแก้ไข axios กลับไปที่ 1.14.0 แต่สภาพแวดล้อมใด ๆ ที่ดึง 1.14.1 หรือ 0.3.4 ในช่วงเวลาที่ถูกโจมตียังคงมีความเสี่ยงจนกว่าข้อมูลลับจะถูกหมุนเวียนและระบบจะถูกสร้างใหม่ การถูกโจมตีนี้สะท้อนถึงเหตุการณ์ npm ก่อนหน้านี้ที่มุ่งเป้าไปที่ผู้ใช้ crypto โดยตรง รวมถึงแคมเปญในปี 2025 ที่แพ็คเกจยอดนิยม 18 แพ็คเกจ เช่น chalk และ debug ได้เปลี่ยนที่อยู่กระเป๋าเงินอย่างเงียบ ๆ เพื่อขโมยเงิน ทำให้ CTO ของ Ledger Charles Guillemet เตือนว่า
“แพ็คเกจที่ได้รับผลกระทบได้ถูกดาวน์โหลดไปแล้วกว่า 1 พันล้านครั้ง”
การสูญเสียจากการโจมตี
นักวิจัยยังได้บันทึกมัลแวร์ npm ที่ขโมยกุญแจจากกระเป๋าเงิน Ethereum, XRP และ Solana และ SlowMist ได้ประเมินว่าการแฮ็กและการฉ้อโกง crypto — รวมถึงแพ็คเกจที่มีช่องโหว่และการโจมตีห่วงโซ่อุปทานที่ใช้ AI — ทำให้เกิดความสูญเสียมากกว่า 2.3 พันล้านดอลลาร์ ในช่วงครึ่งแรกของปี 2025 เพียงอย่างเดียว
คำแนะนำสุดท้าย
สำหรับตอนนี้ คำแนะนำของ Slow Fog คือให้ลดระดับ axios ลงไปที่ 1.14.0, ตรวจสอบการพึ่งพาเพื่อหาสัญญาณของ [email protected] หรือ openclaw และถือว่าข้อมูลประจำตัวใด ๆ ที่ถูกสัมผัสโดยสภาพแวดล้อมเหล่านั้นถูกโจมตีแล้ว ในเรื่องก่อนหน้านี้เกี่ยวกับการโจมตีห่วงโซ่อุปทานของ JavaScript, Guillemet ของ Ledger ได้เตือนว่าแพ็คเกจ npm ที่ถูกโจมตีซึ่งมีการดาวน์โหลดมากกว่า 2 พันล้านครั้ง ต่อสัปดาห์นั้นมีความเสี่ยงต่อระบบต่อ dApps และกระเป๋าเงินที่สร้างขึ้นบน Node.js
เรื่องอื่น ๆ ได้อธิบายว่า กลุ่ม Lazarus ของเกาหลีเหนือได้ปลูกแพ็คเกจ npm ที่เป็นอันตรายเพื่อสร้างช่องโหว่ในสภาพแวดล้อมของนักพัฒนาและมุ่งเป้าไปที่ผู้ใช้กระเป๋าเงิน Solana และ Exodus เรื่องที่สามเกี่ยวกับมัลแวร์รุ่นถัดไปแสดงให้เห็นว่าการโจมตีห่วงโซ่อุปทานที่มีช่องโหว่ผ่าน npm และเครื่องมือ AI ราคาถูกช่วยให้ผู้กระทำผิดสามารถควบคุมเครื่องนักพัฒนามากกว่า 4,200 เครื่องจากระยะไกลและส่งผลให้เกิดความสูญเสียใน crypto หลายพันล้านดอลลาร์
