สรุปสั้น
- Microsoft ระบุแพ็กเกจ npm สองตัวที่ถูกโจมตีซึ่งกระจายมัลแวร์อย่างลับๆ ที่สามารถขโมยข้อมูลรับรองวอลเล็ตคริปโตเคอเรนซี คีย์สโตรก หน้าจอ และข้อมูลสำคัญอื่นๆ
- ผู้โจมตีรายงานว่าใช้ที่เก็บข้อมูลของ Hugging Face เพื่อส่งข้อมูลที่ถูกขโมยออกไป ทำให้กิจกรรมนี้ยากต่อการตรวจจับ
- การค้นพบนี้ชี้ให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นในห่วงโซ่อุปทานซอฟต์แวร์สำหรับนักพัฒนา ขณะเดียวกันก็ยืนยันถึงความสำคัญของแนวทางความปลอดภัยในการควบคุมทรัพย์สินด้วยตนเองและการตรวจสอบอย่างรอบคอบต่อการพึ่งพาจากบุคคลที่สาม
Microsoft เปิดเผยว่ามีแคมเปญมัลแวร์ใหม่ที่มุ่งเป้าไปที่นักพัฒนาผ่านแพ็กเกจ npm ที่ถูกโจมตี ซึ่งเพิ่มความกังวลเกี่ยวกับความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ โค้ดที่เป็นอันตรายถูกออกแบบมาเพื่อขโมยข้อมูลที่ละเอียดอ่อน รวมถึงข้อมูลรับรองวอลเล็ต คริปโตเคอเรนซี โดยยังคงซ่อนตัวอยู่ภายในเครื่องมือที่ดูเหมือนถูกต้อง
แพ็กเกจ npm ที่ถูกโจมตี (utils-terminal@3.2.1, logger-active@3.2.1) กำลังใช้รีโพสิตอรีของ Hugging Face เป็นโครงสร้างพื้นฐานในการขโมยข้อมูล แพ็กเกจเหล่านี้ติดตั้งโทรจันเข้าถึงระยะไกล (RAT) ที่จับการพิมพ์คีย์ ภาพหน้าจอ และข้อมูลรับรองวอลเล็ตคริปโต
ตัวบ่งชี้การถูกบุกรุก… pic.twitter.com/e3kzcStZUg
— Microsoft Threat Intelligence (@MsftSecIntel) June 3, 2026
ตามข้อมูลภัยคุกคามของ Microsoft แพ็กเกจที่ได้รับผลกระทบ ซึ่งระบุว่าเป็น utils-terminal@3.2.1 และ logger-active@3.2.1 ได้กระจายโทรจันเข้าถึงระยะไกลที่สามารถรวบรวมข้อมูลการพิมพ์หน้าจอ ข้อมูลการเข้าสู่ระบบ และข้อมูลที่เกี่ยวข้องกับคริปโตจากระบบที่ติดเชื้อ เนื่องจาก npm เป็นหนึ่งในทะเบียนซอฟต์แวร์ที่ใหญ่ที่สุดในโลก แพ็กเกจที่ถูกโจมตีอาจสามารถเข้าถึงผู้พัฒนาจำนวนมากที่ติดตั้งการพึ่งพาที่ติดเชื้อโดยไม่รู้ตัว
ไมโครซอฟต์เปิดเผยการโจมตีห่วงโซ่อุปทานที่มุ่งเป้าไปที่สกุลเงินดิจิทัล
แคมเปญนี้เกี่ยวข้องเป็นพิเศษกับผู้ใช้คริปโตเคอเรนซีและ บล็อกเชน นักพัฒนา เครื่องมือพัฒนามักมีวอลเล็ตเบราว์เซอร์ ข้อมูลรับรอง API โทเค็นการเข้าถึงคลาวด์ และที่เก็บรหัสแหล่งที่มาที่เชื่อมต่อกับโครงการดิจิทัลแอสเซ็ต หากผู้โจมตีเข้าถึงทรัพยากรเหล่านี้ พวกเขาอาจทำให้วอลเล็ต โครงสร้างพื้นฐานการพัฒนา หรือระบบเทรดอัตโนมัติถูกโจมตี
ไมโครซอฟท์รายงานว่ามัลแวร์ดังกล่าวใช้รีโพสิทอรีของ Hugging Face เป็นส่วนหนึ่งของกลยุทธ์การขโมยข้อมูล โดยการส่งข้อมูลที่ถูกขโมยผ่านแพลตฟอร์มปัญญาประดิษฐ์ที่เชื่อถือได้ ผู้โจมตีจึงลดโอกาสที่กิจกรรมของพวกเขาจะถูกตรวจจับทันทีโดยระบบตรวจสอบความปลอดภัย
เหตุการณ์นี้สะท้อนแนวโน้มที่กว้างขึ้น ซึ่งอาชญากรไซเบอร์มุ่งเป้าไปที่ห่วงโซ่อุปทานซอฟต์แวร์มากกว่าผู้ใช้แต่ละราย แทนที่จะโจมตีเหยื่อโดยตรง ผู้กระทำผิดจะพยายามบุกรุกเครื่องมือและส่วนประกอบการพัฒนาที่ใช้กันทั่วไป เพื่อเข้าถึงกลุ่มเป้าหมายที่กว้างขึ้น
ความท้าทายด้านความปลอดภัยของแหล่งเปิดยังคงเพิ่มขึ้น
การค้นพบล่าสุดตามมาหลังจากแคมเปญหลายครั้งที่มุ่งเป้าไปที่นักพัฒนาคริปโตเคอเรนซีและ ปัญญาประดิษฐ์ นักวิจัยด้านความปลอดภัยเคยระบุแพ็กเกจที่เป็นอันตรายในระบบนิเวศของ npm, PyPI และ Rust ที่พยายามรวบรวมข้อมูลรับรองของวอลเล็ต คีย์ SSH และข้อมูลการเข้าถึงคลาวด์
แม้การโจมตีเหล่านี้จะสร้างความเสี่ยงให้กับผู้ใช้ แต่ไม่ได้เปิดเผยจุดอ่อนในเครือข่ายบล็อกเชนโดยตรง ในกรณีส่วนใหญ่ ผู้โจมตีมุ่งเน้นไปที่การขโมยข้อมูลรับรองจากจุดสิ้นสุดและอุปกรณ์ของผู้ใช้ แทนที่จะพยายามทำลายพื้นฐานการเข้ารหัสที่ปกป้องสินทรัพย์ดิจิทัล
Microsoftแนะนำให้ทบทวนแพ็กเกจที่ติดตั้ง ลบการพึ่งพาที่น่าสงสัย เปลี่ยนรหัสผ่านที่อาจถูกเปิดเผย และตรวจสอบกิจกรรมวอลเล็ตเพื่อหาธุรกรรมที่ไม่ได้รับอนุญาต ผู้เชี่ยวชาญด้านความปลอดภัยยังแนะนำให้เก็บ Seed Phrase ไว้แบบออฟไลน์ และตรวจสอบแหล่งที่มาของซอฟต์แวร์อย่างรอบคอบก่อนการติดตั้ง