หน้าแรก
ข่าวสาร
รายละเอียด

ไมโครซอฟท์ค้นพบแพ็กเกจ npm ที่มีเจตนาไม่ดีโจมตีวอลเล็ตคริปโต

iconCoinEdition
แชร์
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconสรุป

expand icon
Microsoft Threat Intelligence เปิดเผยเมื่อวันที่ 3 มิถุนายน 2026 ว่าพบแพ็กเกจ npm ที่เป็นอันตรายสองตัวที่ใช้ในการเผยแพร่ remote access trojan (RAT) เพื่อเป้าหมายข้อมูลบนโซ่ แพ็กเกจเหล่านี้คือ [email protected] และ [email protected] ซึ่งใช้ที่เก็บข้อมูลของ Hugging Face สำหรับการขโมยข้อมูล แพ็กเกจเหล่านี้ถูกเผยแพร่โดยผู้ใช้ npm ชื่อ hexalpha10 RAT นี้ขโมยการกดปุ่ม ภาพหน้าจอ และข้อมูลบนโซ่ มันสร้างการตั้งค่าแบบถาวรบนระบบ Windows และ Linux และสื่อสารกับเซิร์ฟเวอร์ C2 Microsoft แจ้งเตือนผู้ใช้ให้ตรวจสอบการจราจรไปยัง huggingface.co/api เพื่อหาสัญญาณของการถูกโจมตี
  • ไมโครซอฟท์ตรวจจับแพ็กเกจ npm สองตัวที่ใช้ API ของ Hugging Face ในทางที่ผิด
  • แพ็กเกจเหล่านี้ได้ติดตั้ง RAT เพื่อขโมยข้อมูลการพิมพ์ ภาพหน้าจอ และข้อมูลวอลเล็ต
  • เหตุการณ์นี้ชี้ให้เห็นถึงความเสี่ยงด้านห่วงโซ่อุปทาน npm ที่มีเป้าหมายไปยังผู้ใช้คริปโตอย่างต่อเนื่อง

เมื่อวันที่ 3 มิถุนายน 2026 หน่วยงานป้องกันภัยคุกคามของไมโครซอฟท์รายงานว่ามีแพ็กเกจ npm สองตัวที่ถูกโจมตีกำลังติดตั้งโทรจันเข้าถึงระยะไกล (RAT) เพื่อขโมยการกดปุ่ม ภาพหน้าจอ และข้อมูลรับรองวอลเล็ตคริปโต โดยใช้รีโพสิทอรีของ Hugging Face ในการส่งข้อมูลออก

ไมโครซอฟต์แจ้งเตือนแพ็กเกจ npm สองตัวที่เป็นอันตราย

Microsoft Threat Intelligence ได้ ระบุ แพ็กเกจ npm ที่เป็นอันตรายสองตัว คือ [email protected] และ [email protected] ที่ถูกโจมตีหรือเผยแพร่ด้วยเจตนาที่เป็นอันตราย แพ็กเกจเหล่านี้ติดตั้ง RAT ที่สามารถจับคีย์สโตรก ถ่ายภาพหน้าจอ และขโมยข้อมูลรับรองวอลเล็ตคริปโตเคอเรนซี

แพ็กเกจเหล่านี้ใช้คลังข้อมูลของ Hugging Face เป็นโครงสร้างพื้นฐานในการขโมยข้อมูล โดยผสมผสานการจราจรที่เป็นอันตรายเข้ากับภาระงานด้านการเรียนรู้ของเครื่องที่ถูกต้องตามกฎหมายเพื่อหลีกเลี่ยงการตรวจจับ แพ็กเกจเหล่านี้ถูกเผยแพร่โดยผู้ใช้นาม npm ว่า hexalpha10 (ผู้เขียน: toskypi)

วิธีที่ RAT ขโมยข้อมูลการเข้าถึงวอลเล็ต

เมื่อผู้พัฒนาหรือระบบการสร้างติดตั้งแพ็กเกจ npm ที่ถูกโจมตี แพ็กเกจจะดำเนินการติดตั้ง RAT ที่มีฟีเจอร์ครบถ้วนโดยไม่แจ้งให้ทราบ RAT ถูกออกแบบมาเพื่อทำงานเบื้องหลังและขโมยข้อมูลที่ละเอียดอ่อนอย่างกระตือรือร้น โดยทำได้โดยการติดตามกิจกรรมของผู้ใช้บนระบบที่ติดเชื้อ จับข้อมูลการป้อนข้อมูลซึ่งมักประกอบด้วยรหัสผ่านวอลเล็ต Seed Phrase หรือกุญแจส่วนตัว และดึงข้อมูลการยืนยันตัวตนที่เก็บไว้จากแอปพลิเคชันวอลเล็ตคริปโตยอดนิยมและส่วนขยายเบราว์เซอร์

เพื่อรักษาการเข้าถึงในระยะยาว มัลแวร์จะสร้างความคงอยู่ทันทีหลังจากการติดตั้งโดยใช้วิธีการเฉพาะแพลตฟอร์ม:

  • บน Windows: มันจะสร้างคีย์ Run ที่ HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftSystem64 และตั้งค่างานที่กำหนดเวลาชื่อ MicrosoftSystem64
  • บน Linux: จะติดตั้งบริการ systemd ชื่อ MicrosoftSystem64.service

ข้อมูลถูกวางไว้ในไดเรกทอรีเฉพาะ (MicrosoftSystem64/payload.js) ซึ่งทำให้ RAT สามารถทำงานได้อย่างอิสระจากแพ็กเกจ npm เดิม RAT ใช้เซิร์ฟเวอร์ควบคุมและสั่งการ (C2) สองแห่ง ได้แก่ 195.201.194.107:8010 (WebSocket) และ c2-toskypi.onrender.com (HTTP) และส่งข้อมูลที่ขโมยมาอย่างชาญฉลาดโดยใช้รีโพสิทอรี Hugging Face ที่ถูกต้องตามกฎหมายเป็นจุดปลายทางในการขโมยข้อมูล (huggingface.co/api)

ภัยคุกคามห่วงโซ่อุปทานที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ที่พัฒนาอย่างต่อเนื่อง

การค้นพบแพ็กเกจ npm ที่เป็นอันตรายถือเป็นคำเตือนที่ชัดเจนอีกครั้งเกี่ยวกับการพัฒนาอย่างรวดเร็วของการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ โดยเฉพาะอย่างยิ่งการโจมตีที่ใช้โครงสร้างพื้นฐาน AI ที่เชื่อถือได้เช่น Hugging Face เพื่อดำเนินการอย่างลับๆ

ผลกระทบในทันทีชัดเจน เพราะนักพัฒนาและองค์กรที่พึ่งพาการพึ่งพา npm ตอนนี้ต้องเผชิญกับความเสี่ยงที่สูงขึ้นในการถูกขโมยข้อมูลรับรองและถูกโจมตีในระยะยาว โดยเฉพาะในสภาพแวดล้อมที่จัดการคริปโตเคอเรนซีหรือโทเค็นนักพัฒนาที่ละเอียดอ่อน เครื่องมือความปลอดภัยมาตรฐานที่ใส่การจราจรของ Hugging Face ลงในรายการที่ได้รับอนุญาตว่าเป็น “กิจกรรม ML ที่ไม่เป็นอันตราย” ไม่สามารถเชื่อถือได้อีกต่อไปหากไม่มีบริบทเพิ่มเติม

ในอนาคต Microsoft Threat Intelligence ขอแนะนำให้ผู้ป้องกันพิจารณาว่าการรับส่งข้อมูลที่ไม่คาดคิดไปยัง huggingface.co/api จากงานที่ไม่ใช่ ML อาจบ่งชี้ถึงการถูกโจมตี แคมเปญนี้เน้นย้ำถึงมัลแวร์ที่ใช้ปัญญาประดิษฐ์อย่างซับซ้อนขึ้น และผลักดันให้เกิดการเปลี่ยนไปสู่การตรวจจับตามพฤติกรรม การตรวจสอบ API ขาออกอย่างต่อเนื่อง การควบคุมห่วงโซ่อุปทาน npm ที่เข้มงวดขึ้น และการตรวจสอบแบบ zero-trust สำหรับการพึ่งพาโอเพ่นซอร์ส

ที่เกี่ยวข้อง:แคมเปญมัลแวร์ TrapDoor มุ่งเป้าไปที่ระบบนิเวศของนักพัฒนา Aptos, Solana และ Sui

ข้อจำกัดความรับผิด: ข้อมูลที่นำเสนอในบทความนี้มีวัตถุประสงค์เพื่อการให้ข้อมูลและการศึกษาเท่านั้น บทความนี้ไม่ถือเป็นคำแนะนำทางการเงินหรือคำแนะนำใดๆ ทั้งสิ้น Coin Edition ไม่มีความรับผิดชอบต่อความสูญเสียใดๆ ที่เกิดขึ้นจากการใช้เนื้อหา ผลิตภัณฑ์ หรือบริการที่กล่าวถึง ผู้อ่านควรระมัดระวังก่อนดำเนินการใดๆ ที่เกี่ยวข้องกับบริษัท

แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้ การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา