อีกกรณีหนึ่งของการโจมตีในรูปแบบ Supply chain attack ที่มุ่งเป้ายังพื้นที่เก็บซอฟต์แวร์ Open-source โดยมีการพบว่าแพ็คเกจ NPM สองแพ็คเกจที่มีการดาวน์โหลดสะสมรายสัปดาห์มากกว่า 22 ล้านครั้ง ถูกซ่อนไว้ด้วยโค้ดที่เป็นอันตราย ซึ่งทำให้สามารถเข้าถึงบัญชีของนักพัฒนาได้ ซึ่งพบว่ามี 2 libraries ที่เป็นปัญหาคือ “coa” เป็น Parser สำหรับ Command-line และ “rc” เป็น configuration loader ซึ่งทั้งสอง library ถูกแก้ไขดัดแปลงโดยผู้ไม่หวังดีที่ไม่ได้ระบุชื่อ เพื่อฝังมัลแวร์ที่ใช้ขโมยรหัสผ่านเข้าไปด้วย
เวอร์ชั่นของ coa ที่ได้รับผลกระทบจะมีตั้งแต่เวอร์ชั่น 2.0.3 ขึ้นไป และขอแนะนำให้ผู้ที่ใช้เวอร์ชั่นดังกล่าวปรับลดเป็นเวอร์ชั่น 2.0.2 โดยเร็วที่สุด และตรวจสอบระบบว่ามีพฤติกรรมที่น่าสงสัยหรือไม่ ตามคำแนะนำของ Github ที่เผยแพร่ออกมาเมื่อวันที่ 4 พฤศจิกายน 2564 และในเหตุการณ์เดียวกันนี้ “rc” เวอร์ชั่น 1.2.9, 1.3.9 และ 2.3.9 ก็ถูกพบว่ามีมัลแวร์แฝงอยู่เช่นเดียวกัน และได้แจ้งเตือนให้ผู้ใช้ดาวน์เกรดเป็นเวอร์ชั่น 1.2.8 แล้ว
การวิเคราะห์เพิ่มเติมของตัวอย่างมัลแวร์ ทำให้พบว่าเป็นมัลแวร์ตระกูล DanaBot ซึ่งเป็นมัลแวร์บน Windows ที่ใช้สำหรับการขโมยข้อมูลประจำตัว และรหัสผ่าน โดยมีเหตุการณ์ที่คล้ายกันก่อนหน้านี้สองเหตุการณ์จากเดือนที่แล้วที่มัลแวร์ดังกล่าวจะส่งผลให้ UAParser.js นั้นถูกบุกรุกเข้าไปภายใน เช่นเดียวกันกับกรณีการทำ typosquatting กับ NPM library ของ Roblox
NPM ได้กล่าวแนะนำบน Tweet ว่าให้ทำการเปิดใช้งาน (2 factor authentication) ในบัญชีของ User เพื่อป้องกันการโจมตีที่คล้ายกันนี้
ที่มา: thehackernews