ทีม security ของ npm (Node Package Manager) ที่เป็นผู้ให้บริการ Package Manager ของ JavaScript ได้ทำการลบ JavaScript Library ที่มีชื่อว่า "twilio-npm" ออกไปเมื่อวันที่ 2 พฤศจิกายนที่ผ่านมา เนื่องจากพบว่า Script ดังกล่าวจะมีการสั่งให้แอบเปิด TCP reverse shell บนเครื่องของนักพัฒนาที่นำไปใช้ จากรายงานระบุว่า reverse shell ดังกล่าวจะเปิดการเชื่อมต่อไปยัง 4.tcp.ngrok[.]io:11425 เพื่อรอรับคำสั่งอื่นๆ จากผู้ไม่หวังดี แต่จะสามารถทำงานได้บนระบบปฏิบัติการที่เป็น UNIX เท่านั้น
ถึงแม้ว่าจะมีการปล่อย Library ดังกล่าวออกไปในช่วงเวลาสั้นๆ เพียง 3-4 วัน ก่อนจะถูกลบออกไป แต่ก็พบว่ามีการดาวน์โหลดไปใช้งานมากกว่า 370 ครั้ง เครื่องที่พบว่ามีการดาวน์โหลด Script ดังกล่าว ควรตระหนักว่าเครื่องที่ใช้งานอยู่อาจจะโดนยึดไปเรียบร้อยแล้ว มีความเป็นไปได้ว่ารหัสผ่านหรือ key ต่างๆ ที่มีการเก็บไว้บนเครื่องจะถูกนำออกไปแล้ว จึงควรทำการเปลี่ยนรหัสผ่านและ key ที่มีการใช้งานบนเครื่องอื่นๆ ซึ่งตรงกับที่เก็บอยู่บนเครื่องต้องสงสัยทั้งหมดใหม่
ทั้งนี้ในช่วง 3 เดือนที่ผ่านมาพบว่ามีการลบ Package ที่ต้องสงสัยออกไปหลายรายการด้วยกัน ประกอบด้วยเดือนสิงหาคมมีการลบ Library ที่เชื่อว่าถูกนำมาใช้เพื่อขโมยข้อมูลสำคัญจาก Browser และ Discord ของเหยื่อ, เดือนกันยายนมีการลบ Library ที่เชื่อว่าถูกใช้ในการอัพโหลดข้อมูลของผู้ใช้งานบนเครื่องที่เป็นเหยื่อส่งออกไปยัง GitHub และเดือนตุลาคมมีการลบ Library ที่พบว่าแอบเปิด reverse shell บนเครื่องของผู้พัฒนา
ที่มา: zdnet
You must be logged in to post a comment.