พบแพ็กเกจอันตรายสองรายการใน npm ซึ่งเป็น JavaScript package index โดยแพ็กเกจทั้งสองนี้ถูกออกแบบมาให้ดูเหมือนเครื่องมือยูทิลิตี้ที่มีประโยชน์ แต่ที่จริงแล้วเป็นมัลแวร์สำหรับลบข้อมูล ที่สามารถลบไดเรกทอรีแอปพลิเคชันได้ทั้งหมด
แพ็กเกจดังกล่าวมีชื่อว่า ‘express-api-sync’ และ ‘system-health-sync-api’ โดยมันปลอมตัวเป็นเครื่องมือสำหรับซิงค์ฐานข้อมูล และเครื่องมือตรวจสอบ health monitoring ของระบบ
บริษัท Socket ผู้เชี่ยวชาญด้านความปลอดภัยซอฟต์แวร์โอเพนซอร์ส เปิดเผยว่าแพ็กเกจบน npm สองรายการที่ถูกเผยแพร่ในเดือนพฤษภาคม 2025 มีแบ็กดอร์ที่เปิดช่องให้สามารถลบข้อมูลได้จากระยะไกล โดยขณะนี้ทั้งสองแพ็กเกจถูกลบออกจากระบบแล้วหลังจากที่ Socket ตรวจพบ และรายงานปัญหาดังกล่าว
จากข้อมูลสถิติย้อนหลังของบริษัท Socket พบว่า มีนักพัฒนาที่ไม่ทราบถึงความเสี่ยงดาวน์โหลดแพ็กเกจ express-api-sync ถึง 855 ครั้ง และดาวน์โหลดแพ็กเกจ system-health-sync-api จำนวน 104 ครั้ง
โดยแพ็กเกจ express-api-sync มีการ registers hidden POST endpoint (/api/this/that) และรอรับคำร้องพร้อม secret key 'DEFAULT_123' เพื่อเริ่มการทำงาน
เมื่อได้รับคำสั่ง แพ็กเกจจะรันคำสั่ง "rm -rf *" ในไดเรกทอรีของแอปพลิเคชัน เพื่อลบไฟล์ทั้งหมด รวมถึงโค้ดต้นทาง, ไฟล์ตั้งค่า, assets ที่อัปโหลด และฐานข้อมูลภายในเครื่อง โดย endpoint ดังกล่าวจะส่งสถานะกลับไปยังผู้โจมตีเพื่อแจ้งผลการทำงานว่าสำเร็จด้วยข้อความ {"message":"All files deleted"} หรือไม่สามารถดำเนินการลบไฟล์ได้ตามที่ต้องการ
แพ็กเกจที่สอง ‘system-health-sync-api’ ซึ่งมีความซับซ้อนมากขึ้น
แพ็กเกจนี้จะ registers แบ็กดอร์หลายจุด ดังนี้:
- GET/_/system/health → เพื่อส่งสถานะของเซิร์ฟเวอร์กลับ
- POST/_/system/health → เป็นจุดหลักสำหรับการทำลายข้อมูล
- POST/_/sys/maintenance → เป็นจุดสำรองสำหรับการทำลายข้อมูล
ในกรณีนี้ secret key คือ ‘HelloWorld’ ทำหน้าที่เป็นคำสั่งเริ่มต้นที่สั่งให้ระบบเริ่มกระบวนการสำรวจ จากนั้นจึงดำเนินการลบข้อมูลจากระยะไกล โดยเลือกใช้คำสั่งที่เหมาะสมตามระบบปฏิบัติการที่ตรวจพบ โดยโปรแกรมรองรับทั้งคำสั่ง ( ‘rm -rf *’) สำหรับ Linux และ (‘rd /s /q .’) สำหรับ Windows
เมื่อกระบวนการทำงานเสร็จสมบูรณ์ โปรแกรมลบข้อมูลจะทำการส่งอีเมลแจ้งไปยังผู้โจมตีที่ ‘anupm019@gmail.com’ โดยในอีเมลดังกล่าวประกอบไปด้วย URL ของแบ็กเอนด์, fingerprint ของระบบ และผลลัพธ์การลบไฟล์ นอกจากนี้ ผู้โจมตียังจะได้รับการตอบกลับแบบเรียลไทม์ผ่าน HTTP response เพื่อยืนยันถึงความสำเร็จของการทำลายข้อมูล
กรณีที่พบมัลแวร์ที่ลบข้อมูลบน npm นั้นผิดแปลกไปจากกรณีทั่วไป เนื่องจากมัลแวร์ดังกล่าวไม่ได้มีเป้าหมายเพื่อผลประโยชน์ทางการเงิน หรือการขโมยข้อมูล ซึ่งมักเป็นสาเหตุหลักที่พบเมื่อมัลแวร์แทรกซึมเข้าไปในแพลตฟอร์มการเผยแพร่ซอฟต์แวร์
Socket พบว่าแพ็กเกจทั้งสองนี้เป็นภัยคุกคามร้ายแรงต่อระบบ npm และอาจเกี่ยวข้องกับปฏิบัติการระดับรัฐบาล หรือการตั้งใจทำลายระบบ โดยแพ็กเกจเหล่านี้มีเจตนาที่จะลบข้อมูลทั้งหมด ไม่ใช่การขโมยข้อมูล หรือขุดคริปโตเคอร์เรนซี ซึ่งแสดงใ้เห็นว่าผู้โจมตีอาจมีแรงจูงใจจากการทำลายล้าง, การแข่งขัน หรือการก่อกวนมากกว่าการแสวงหาผลประโยชน์ทางการเงินเพียงอย่างเดียว
ที่มา : bleepingcomputer
You must be logged in to post a comment.