Microsoft Threat Intelligence พบแพ็กเกจ npm ที่ถูกบุกรุก 2 รายการ ซึ่งแจกจ่ายมัลแวร์แบบโทรจันเข้าถึงระยะไกล (RAT) โดยมุ่งเป้าไปที่นักพัฒนาและผู้ใช้ด้านคริปโต แพ็กเกจที่เป็นอันตรายดังกล่าว ระบุเป็น utils-terminal@3.2.1 และ logger-active@3.2.1 จะขโมยการกดแป้นพิมพ์ ภาพหน้าจอ และข้อมูลรับรองกระเป๋าเงินคริปโตจากระบบที่ติดเชื้อ ผู้โจมตีใช้คลังข้อมูลของ Hugging Face เพื่อส่งออกข้อมูลที่ถูกขโมย ทำให้การตรวจจับทำได้ยากขึ้นสำหรับทีมความปลอดภัย แคมเปญนี้กำหนดเป้าหมายไปยังเครื่องทำงานของนักพัฒนาที่มีวอลเล็ตคริปโตผ่านเบราว์เซอร์ คีย์ส่วนตัว ข้อมูลรับรองสำหรับ API ของการแลกเปลี่ยน และข้อมูลรับรองบริการคลาวด์ การค้นพบครั้งนี้เป็นส่วนหนึ่งของความเสี่ยงด้านซัพพลายเชนของซอฟต์แวร์ที่ยังคงดำเนินอยู่ ซึ่งกระทบทั้งนักพัฒนาและผู้ใช้คริปโตที่เก็บสินทรัพย์อ่อนไหวไว้บนเครื่องสำหรับการพัฒนา

Microsoft Identifies Malicious npm Packages Distributing RAT Malware

Microsoft เตือนว่ากลุ่มอาชญากรกำลังมุ่งเป้านักพัฒนาและผู้ใช้คริปโตผ่านซอฟต์แวร์ที่เป็นอันตรายซึ่งซ่อนอยู่ในแพ็กเกจ npm สาธารณะ ตามรายงานของ Microsoft Threat Intelligence พบแพ็กเกจ npm ที่ถูกบุกรุก 2 รายการ ระบุเป็น utils-terminal@3.2.1 และ logger-active@3.2.1 โดยแพ็กเกจทั้งสองกำลังแจกจ่าย remote access trojan (RAT) ที่สามารถขโมยข้อมูลอ่อนไหวจากระบบที่ติดเชื้อได้

คาดว่าแพ็กเกจที่เป็นอันตรายถูกออกแบบมาเพื่อรวบรวมข้อมูลหลากหลายประเภท รวมถึงการกดแป้นพิมพ์ ภาพหน้าจอ ข้อมูลรับรองวอลเล็ตคริปโต และข้อมูลที่เป็นความลับอื่น ๆ เนื่องจาก npm เป็นหนึ่งในคลังทะเบียนซอฟต์แวร์ที่ถูกใช้งานอย่างแพร่หลายที่สุดสำหรับนักพัฒนา JavaScript ภัยคุกคามนี้จึงมีศักยภาพที่จะส่งผลกระทบต่อผู้ใช้งำนวนมากที่ไม่รู้ตัว ติดตั้ง dependency ที่ถูกบุกรุกขณะสร้างแอปพลิเคชันหรือบริการบนเว็บ

Attackers Route Stolen Data Through Hugging Face Platform

Microsoft อธิบายว่า ผู้โจมตีใช้ Hugging Face ซึ่งเป็นแพลตฟอร์มยอดนิยมสำหรับโครงการด้านปัญญาประดิษฐ์และแมชชีนเลิร์นนิง เป็นส่วนหนึ่งของกระบวนการส่งออกข้อมูลที่ถูกขโมย ด้วยการส่งต่อข้อมูลที่ถูกขโมยผ่านแพลตฟอร์มที่น่าเชื่อถือ กิจกรรมที่เป็นอันตรายอาจดูไม่น่าสงสัยกว่าการสื่อสารกับเซิร์ฟเวอร์แบบดั้งเดิมเพื่อควบคุมการโจมตี (command-and-control) ทำให้การตรวจจับยากขึ้นสำหรับทีมความปลอดภัย

Malware Targets Crypto Wallets and Developer Credentials

ภัยคุกคามนี้น่ากังวลเป็นพิเศษสำหรับนักพัฒนาคริปโตและนักลงทุน เครื่องทำงานของนักพัฒนามักมีวอลเล็ตคริปโตที่ใช้ผ่านเบราว์เซอร์ คีย์ส่วนตัว รวมถึงไฟล์สำรองของ seed phrase ข้อมูลรับรองสำหรับ API ของการแลกเปลี่ยน โทเคนการเข้าถึง GitHub และข้อมูลรับรองบริการคลาวด์ หากผู้โจมตีเข้าถึงทรัพยากรเหล่านี้ได้ พวกเขาอาจทำให้สินทรัพย์คริปโต สภาพแวดล้อมการพัฒนา ระบบการเทรด และที่เก็บซอร์สโค้ดถูกบุกรุกได้

Campaign Connects to Previous Supply-Chain Attacks

รายงานของ Microsoft ยังสอดคล้องกับแนวโน้มของการโจมตีที่มุ่งเป้าซัพพลายเชนของซอฟต์แวร์ ในเดือนพฤษภาคม นักวิจัยด้านความปลอดภัยได้พบแคมเปญมัลแวร์ TrapDoor ซึ่งแพร่กระจายผ่านแพ็กเกจที่เป็นอันตรายหลายสิบรายการบน npm, PyPI และคลัง Rust การดำเนินการครั้งนั้นพุ่งเป้าโดยเฉพาะไปที่นักพัฒนาคริปโตและด้านปัญญาประดิษฐ์ โดยพยายามขโมยข้อมูลวอลเล็ต ข้อมูลรับรองคลาวด์ คีย์ API และการเข้าถึง SSH

คำเตือนล่าสุดยังตามหลังรายงานอีกฉบับหนึ่งจาก Microsoft ที่เกี่ยวข้องกับมัลแวร์ประเภท cryptojacking ในแคมเปญนั้น ผู้โจมตีอ้างว่าใช้ผลการค้นหาที่ถูกวางยาและปรับเปลี่ยนปฏิสัมพันธ์กับแชตบอท AI เพื่อพาผู้ใช้ไปดาวน์โหลดซอฟต์แวร์ปลอม เมื่อโปรแกรมที่เป็นอันตรายถูกติดตั้งแล้ว โปรแกรมจะใช้ทรัพยากรของระบบเพื่อขุดคริปโตโดยที่เหยื่อไม่รู้ตัว

Security Experts Recommend Credential Rotation and Package Review

ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้นักพัฒนาตรวจสอบแพ็กเกจที่เพิ่งติดตั้งอย่างรอบคอบ ลบ dependency ที่น่าสงสัย หมุนเวียนข้อมูลรับรองที่อาจถูกเปิดเผย และเฝ้าติดตามกิจกรรมของวอลเล็ตสำหรับธุรกรรมที่ไม่ได้รับอนุญาต ผู้ใช้คริปโตก็ได้รับคำแนะนำให้หลีกเลี่ยงการเก็บ seed phrase บนอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต และตรวจสอบธุรกรรมของวอลเล็ตทั้งหมดอย่างละเอียดก่อนอนุมัติ

FAQ

What malicious npm packages did Microsoft discover?

Microsoft Threat Intelligence ระบุแพ็กเกจ npm ที่ถูกบุกรุก 2 รายการ: utils-terminal@3.2.1 และ logger-active@3.2.1 แพ็กเกจเหล่านี้แจกจ่ายมัลแวร์แบบ remote access trojan ที่สามารถขโมยการกดแป้นพิมพ์ ภาพหน้าจอ ข้อมูลรับรองวอลเล็ตคริปโต และข้อมูลที่เป็นความลับอื่น ๆ จากระบบที่ติดเชื้อ

How do attackers exfiltrate stolen data from infected systems?

ผู้โจมตีใช้ Hugging Face ซึ่งเป็นแพลตฟอร์มยอดนิยมสำหรับโครงการด้านปัญญาประดิษฐ์และแมชชีนเลิร์นนิง เป็นส่วนหนึ่งของกระบวนการส่งออกข้อมูลที่ถูกขโมย ด้วยการส่งต่อข้อมูลที่ถูกขโมยผ่านแพลตฟอร์มที่น่าเชื่อถือ กิจกรรมที่เป็นอันตรายจะดูไม่น่าสงสัยมากกว่าการสื่อสารกับเซิร์ฟเวอร์แบบดั้งเดิมเพื่อควบคุมการโจมตี ทำให้การตรวจจับยากขึ้นสำหรับทีมความปลอดภัย

What security measures do experts recommend for developers?

news.view.source

news.article.disclaimer

news.related.news

1 ชั่วโมง ที่แล้ว

Microsoft เตือนพบมัลแวร์ RAT ในแพ็กเกจ npm utils-terminal และ logger-active

06-02 11:52

แพลตฟอร์ม DeFi Radiant Capital ปิดตัวลงหลังเหตุแฮก $50M ในเดือนตุลาคม 2024

06-02 07:05

แพ็กเกจ npm ของ Red Hat ถูกโจมตีห่วงโซ่อุปทานแบบแอ็กทีฟ; พบที่เก็บ GitHub มากกว่า 300 รายการมีข้อมูลรับรองที่ถูกขโมย ณ วันที่ 2 มิถุนายน

btc.bar.articles

การถกเถียงเกี่ยวกับประโยชน์ใช้สอยของคริปโตกำลังทวีความรุนแรงขึ้นท่ามกลางการเก็งกำไรในตลาด

Crypto News Land17 ชั่วโมง ที่แล้ว

ข้อถกเถียงเรื่องประโยชน์ใช้สอยของคริปโตกำลังทวีความรุนแรงท่ามกลางการคาดการณ์ของตลาด

Crypto News Land17 ชั่วโมง ที่แล้ว

Radiant Capital ปิดตัวลง หลังเกิดเหตุเอ็กซ์พลอยต์ในเดือนตุลาคม 2024 โดยสหรัฐฯ $50M

Ethan Brooks06-02 06:43

ซีอีโอของ Gnosis ยืนยันว่ากำลังมีการโจมตีแบบใช้ช่องโหว่อย่างต่อเนื่อง โดยมุ่งเป้าไปที่โมดูล Zodiac ของ Gnosis Pay

Ethan Brooks06-01 10:39

ผู้บริหารของ Malwarebytes เตือน: การหลอกลวงสกุลเงินดิจิทัลที่อันตรายที่สุดในศตวรรษนี้เกี่ยวกับ “อีโคปีย์คัพ” ทำให้ธุรกรรมแทบจะเรียกคืนไม่ได้

Market Whisper06-01 03:30

แสดงความคิดเห็น

0/400

ไม่มีความคิดเห็น