นักวิจัยพบแพ็คเกจ NPM อันตรายแอบเก็บข้อมูลผู้ใช้ส่งไปยัง GitHub ของแฮกเกอร์

npm

นักวิจัยพบจากบริษัท Sonatype ได้รายงานถึงการตรวจพบแพ็คเกจ npm ที่เป็นอันตรายซึ่งภายในแพ็คเกจจะมีโค้ดที่ทำการรวบรวมรายละเอียดผู้ใช้และทำการอัปโหลดข้อมูลไปยัง GitHub ของแฮกเกอร์

ตามรายงานจาก Sonatype พบว่าแพ็คเกจทั้งสี่คือ Electorn, lodashs, loadyaml และ loadyml ทั้ง 4 แพ็คเกจได้รับการพัฒนาจากผู้ใช้คนเดียวกันที่ชื่อ simplelive12 และถูกอัปโหลดลงบนพอร์ทัล npm ในเดือนสิงหาคมแต่ปัจจุบันถูกลบไปแล้วโดยทีมรักษาความปลอดภัยของ npm จากการตรวจสอบโค้ดของแพ็คเกจทั้งสี่พบว่า ผู้โจมตีได้มีการใช้เทคนิค typosquatting ซึ่งเป็นเทคนิคที่อาศัยการที่ผู้ใช้ที่ทำการสะกดชื่อของแพ็กเกจผิด เพื่อให้ทำให้ผู้ใช้ได้รับการติดตั้งแพ็คเกจที่มีชื่อคล้ายกันและภายในจะแพ็คเกจจะมีโค้ดที่ทำการรวบรวม IP address, country, city, computer username, home directory path และข้อมูลโมเดลรุ่นของ CPU และการโพสต์ข้อมูลในส่วนของ GitHub repository ของผู้พัฒนา

นักวิจัยจาก Sonatype กล่าวว่าข้อมูลที่ถูกส่งกับไปยัง GitHub นั้นจะถูกลบออกทุกๆ 24 ชั่วโมงซึ่งส่วนใหญ่จะถูกคัดลอกและถูกจัดทำดัชนีภายในฐานข้อมูลอื่น ยังไม่ชัดเจนว่าเป้าหมายของการดำเนินการนี้คืออะไร ทั้งนี้ผู้ใช้ควรทำการตรวจสอบแพ็คเกจ JavaScript npm ภายในเครื่องถ้าพบว่าเคยทำการติดตั้งแพ็คเกจชุดนี้ควรทำการตรวจสอบและลบออกจากเครื่องเพื่อเป็นการป้องกันการใช้ประโยชน์จากข้อมูลที่ถูกเก็บไปใช้ประโยชน์ในการโจมตีในรูปแบบอื่น

ที่มา: zdnet.com