นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบการโจมตีซัพพลายเชนครั้งใหม่ ซึ่งแพ็คเกจที่ถูกต้องตามกฎหมายบน npm และ PyPI ถูกบุกรุกเพื่อผลักดันเวอร์ชันที่เป็นอันตราย เพื่ออำนวยความสะดวกในการขโมยข้อมูลรับรองวอลเล็ตและการประมวลผลโค้ดจากระยะไกล (RAT) แพ็คเกจที่ถูกบุกรุก ได้แก่ `@dydxprotocol/v4-client-js` สำหรับ npm และ `dydx-v4-client` สำหรับ PyPI ผู้โจมตีได้ฝังโค้ดที่เป็นอันตรายลงในไฟล์รีจิสทรีหลักของแพ็คเกจ โดยคาดว่าเกิดจากการที่บัญชีของนักพัฒนาถูกบุกรุก dYdX ได้ยอมรับเหตุการณ์นี้และแนะนำให้ผู้ใช้ดำเนินการตามมาตรการป้องกันทันที เหตุการณ์นี้ตอกย้ำถึงรูปแบบการโจมตีซัพพลายเชนที่พุ่งเป้าไปที่สินทรัพย์ที่เกี่ยวข้องกับ dYdX อย่างต่อเนื่อง
Severity: วิกฤต
System Impact:
- npm (Node Package Manager)
- PyPI (Python Package Index)
- โปรโตคอล dYdX v4 (เครื่องมือสำหรับนักพัฒนาและแอปพลิเคชันที่ใช้แพ็คเกจเหล่านี้)
- ระบบของนักพัฒนา (ที่ติดตั้งหรือใช้แพ็คเกจที่ถูกบุกรุก)
- กระเป๋าเงินคริปโตเคอร์เรนซี
- ระบบปฏิบัติการ Windows (เป้าหมายของ RAT ที่ใช้แฟล็ก CREATE_NO_WINDOW)
Technical Attack Steps:
- ผู้โจมตีได้รับสิทธิ์เข้าถึงข้อมูลรับรองการเผยแพร่ที่ถูกต้องสำหรับแพ็คเกจ npm และ PyPI ที่เกี่ยวข้องกับ dYdX
- มีการเผยแพร่แพ็คเกจเวอร์ชันที่เป็นอันตรายของ `@dydxprotocol/v4-client-js` (npm) และ `dydx-v4-client` (PyPI) ไปยังที่เก็บตามลำดับ
- นักพัฒนาทำการดาวน์โหลดและรวมการอัปเดตที่เป็นอันตรายเหล่านี้เข้ากับแอปพลิเคชันหรือระบบของตน
- โค้ดที่เป็นอันตราย ซึ่งฝังอยู่ในไฟล์รีจิสทรีหลัก (registry.ts, registry.js, account.py) จะถูกรันในระหว่างการใช้งานแพ็คเกจตามปกติ
- สำหรับแพ็คเกจ npm มัลแวร์ขโมยวอลเล็ตคริปโตเคอร์เรนซีจะดูดข้อมูลวลีรหัส (seed phrases) และข้อมูลอุปกรณ์
- สำหรับแพ็คเกจ PyPI ทั้งมัลแวร์ขโมยวอลเล็ตและโทรจันการเข้าถึงระยะไกล (RAT) จะถูกนำไปใช้
- ส่วนประกอบ RAT จะเชื่อมต่อกับเซิร์ฟเวอร์ภายนอก (dydx.priceoracle[.]site/py) เพื่อรับและรันคำสั่งเพิ่มเติม ซึ่งอาจเกิดขึ้นโดยไม่มีหน้าต่างคอนโซลบนระบบ Windows
Recommendations:
Short Term:
- แยกเครื่องที่ได้รับผลกระทบออกจากการเชื่อมต่อเครือข่ายทันที
- ย้ายเงินทั้งหมดจากวอลเล็ตที่ได้รับผลกระทบไปยังวอลเล็ตใหม่ที่ปลอดภัย โดยใช้ระบบที่สะอาดและไม่ได้รับผลกระทบ
- เปลี่ยน API keys และข้อมูลรับรองทั้งหมดที่อาจถูกเปิดเผย
Long Term:
- ใช้มาตรการรักษาความปลอดภัยบัญชีนักพัฒนาที่แข็งแกร่ง (เช่น การยืนยันตัวตนแบบหลายปัจจัย – 2FA)
- ตรวจสอบความสมบูรณ์ของซัพพลายเชนซอฟต์แวร์อย่างสม่ำเสมอ
- ตรวจสอบความถูกต้องและความสมบูรณ์ของแพ็คเกจก่อนใช้งาน โดยเฉพาะอย่างยิ่งสำหรับแอปพลิเคชันที่สำคัญ
- เฝ้าระวังกิจกรรมเครือข่ายที่ผิดปกติจากระบบที่ใช้แพ็คเกจเหล่านี้
- ตระหนักถึงความเสี่ยงของ ‘npx confusion’ (แพ็คเกจที่ไม่มีอยู่จริง) และใช้ `npx –no-install` หรือติดตั้งเครื่องมือ CLI อย่างชัดเจน
- ลงทะเบียนชื่อแพ็คเกจหรือคำสะกดผิดที่พบบ่อย (aliases and misspellings) เพื่อป้องกันการโจมตีแบบ typosquatting
Source: https://thehackernews.com/2026/02/compromised-dydx-npm-and-pypi-packages.html
Share this content: