แพ็กเกจ NPM ที่เป็นอันตราย 3 รายการ ได้แก่ bitcoin-main-lib, bitcoin-lib-js และ bip40 กำลังมุ่งเป้าไปที่นักพัฒนา JavaScript เพื่อขโมยข้อมูลการเข้าสู่ระบบเบราว์เซอร์, API keys และข้อมูลกระเป๋าเงินดิจิทัล แพ็กเกจเหล่านี้ปลอมตัวเป็นเครื่องมือที่เกี่ยวข้องกับโปรเจกต์ bitcoinjs และติดตั้ง NodeCordRAT ซึ่งเป็นโทรจันเข้าถึงระยะไกล (RAT) ที่ใช้ Discord เป็นช่องทาง Command-and-Control (C2) เพื่อเข้าถึงเชลล์ระยะไกลและไฟล์บนระบบที่ถูกบุกรุก NodeCordRAT จะค้นหาฐานข้อมูลการเข้าสู่ระบบของ Chrome, ไฟล์ .env ที่อาจมี API tokens และข้อมูลจาก MetaMask เพื่อขโมยข้อมูลรับรองและข้อมูลโปรเจกต์ที่ละเอียดอ่อนจากเครื่องของนักพัฒนา Zscaler ThreatLabz ตรวจพบแพ็กเกจเหล่านี้ในเดือนพฤศจิกายน 2025
Severity: สูง
System Impact:
- แพลตฟอร์ม npm (npm registry)
- ระบบของนักพัฒนา JavaScript (Developer workstations)
- เบราว์เซอร์ Chrome (ฐานข้อมูลการเข้าสู่ระบบ)
- ไฟล์ .env (ไฟล์ที่เก็บข้อมูลความลับ เช่น API tokens)
- MetaMask (ข้อมูลกระเป๋าเงินดิจิทัล)
- Discord (ใช้เป็นช่องทาง C2)
Technical Attack Steps:
- ผู้โจมตีอัปโหลดแพ็กเกจ npm ที่เป็นอันตราย (bitcoin-main-lib, bitcoin-lib-js, bip40) ไปยัง public npm registry โดยปลอมตัวเป็นเครื่องมือที่เกี่ยวข้องกับโปรเจกต์ bitcoinjs
- นักพัฒนาติดตั้งแพ็กเกจที่เป็นอันตรายเหล่านี้เป็น dependencies ในโปรเจกต์ของตน
- ระหว่างการติดตั้ง สคริปต์ ‘postinstall.cjs’ ที่อยู่ในไฟล์ ‘package.json’ จะถูกรันโดยอัตโนมัติโดยไม่มีการโต้ตอบจากผู้ใช้
- สคริปต์จะเรียกใช้งานโมดูล ‘bip40’ และเริ่มต้น NodeCordRAT ให้ทำงานเป็นกระบวนการเบื้องหลังโดยใช้ PM2 เพื่อให้โทรจันทำงานต่อเนื่องได้แม้หลังจาก npm ปิดลง (แต่ไม่คงอยู่หลังการรีบูตเต็มรูปแบบโดยค่าเริ่มต้น)
- NodeCordRAT เชื่อมต่อกับเซิร์ฟเวอร์ Discord ที่ถูกฮาร์ดโค้ดไว้ เพื่อใช้เป็นช่องทาง Command-and-Control (C2)
- NodeCordRAT รับคำสั่งจากผู้โจมตี เช่น ‘!run’ หรือ ‘!sendfile’ และดำเนินการตามคำสั่ง
- NodeCordRAT ค้นหาและขโมยข้อมูลที่ละเอียดอ่อนจากระบบที่ถูกบุกรุก รวมถึงฐานข้อมูลการเข้าสู่ระบบของ Chrome, ไฟล์ .env (เช่น API tokens) และข้อมูลจาก MetaMask
- ข้อมูลที่ถูกขโมยและภาพหน้าจอจะถูกส่งกลับไปยังผู้โจมตีผ่านช่องทาง Discord C2
Recommendations:
Short Term:
- ตรวจสอบและถอนการติดตั้งแพ็กเกจ ‘bitcoin-main-lib’, ‘bitcoin-lib-js’, ‘bip40’ หากพบในโปรเจกต์ของคุณโดยทันที
- ตรวจสอบระบบที่อาจถูกบุกรุกเพื่อหาการทำงานของ NodeCordRAT หรือกิจกรรมที่น่าสงสัยอื่นๆ
- เปลี่ยนข้อมูลรับรองและ API keys ที่อาจถูกขโมยไป
Long Term:
- ระมัดระวังในการเพิ่ม dependencies ใหม่ในโปรเจกต์ โดยเฉพาะอย่างยิ่งแพ็กเกจที่มีชื่อคล้ายกับแพ็กเกจยอดนิยม (typosquatting)
- ตรวจสอบแหล่งที่มาของแพ็กเกจ (ผู้เผยแพร่, จำนวนการดาวน์โหลด, ชื่อเสียง) ก่อนใช้งาน
- ใช้เครื่องมือวิเคราะห์ความปลอดภัยของซัพพลายเชนซอฟต์แวร์ (Software Supply Chain Security) เพื่อตรวจจับแพ็กเกจที่เป็นอันตราย
- ใช้หลักการความปลอดภัยแบบ Zero Trust สำหรับการเข้าถึงทรัพยากรที่สำคัญ
- จำกัดสิทธิ์การเข้าถึงไฟล์และข้อมูลที่ละเอียดอ่อนบนเครื่องของนักพัฒนา
- ให้ความรู้แก่นักพัฒนาเกี่ยวกับภัยคุกคามจากการโจมตี supply chain และแนวทางปฏิบัติที่ดีที่สุด
Source: https://cybersecuritynews.com/three-malicious-npm-packages-attacking-developers/
Share this content: