มัลแวร์ Shai-Hulud ที่หลุดออกมาเมื่อสัปดาห์ที่แล้ว กำลังถูกนำมาใช้ในการโจมตี Node Package Manager (npm) index ครั้งใหม่ โดยพบแพ็กเกจที่ติดมัลแวร์ปรากฏขึ้นเมื่อช่วงสุดสัปดาห์ที่ผ่านมา
ผู้ไม่หวังดีที่ใช้บัญชีชื่อ deadcode09284814 ได้เผยแพร่แพ็กเกจอันตรายจำนวน 4 รายการบน npm และได้ฝังมัลแวร์ Shai-Hulud เวอร์ชัน Non-obfuscated ไว้ในหนึ่งในแพ็กเกจเหล่านั้น ซึ่งมุ่งเป้าขโมยข้อมูล Credentials ของนักพัฒนา, ข้อมูล Secrets, ข้อมูล Crypto wallet และข้อมูลบัญชีต่าง ๆ
แพ็กเกจอันตรายทั้งหมดมีชุดคำสั่งสำหรับลักลอบส่งข้อมูลออกไป เช่น ข้อมูล Credentials และไฟล์ Configuration แต่มีอยู่หนึ่งแพ็กเกจที่สามารถเปลี่ยนระบบของเหยื่อให้กลายเป็น Bot เพื่อใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ได้ด้วย
นักวิจัยจาก OXsecurity ซึ่งเป็นบริษัทด้านการรักษาความปลอดภัยแอปพลิเคชันตั้งแต่ระดับโค้ดจนถึง Runtime ได้ค้นพบการอัปโหลดไฟล์อันตรายดังกล่าวในช่วงสุดสัปดาห์ และสังเกตพบว่าผู้ไม่หวังดีได้ใช้เทคนิค Typosquatting เพื่อพุ่งเป้าไปที่กลุ่มผู้ใช้งาน Axios รวมถึงมีการใช้ชื่อแบบทั่วไปบางชื่ออีกด้วย
- chalk-tempalte – ตัว Clone ของมัลแวร์ Shai-Hulud (มัลแวร์ขโมยข้อมูล)
- @deadcode09284814/axios-util – มัลแวร์ขโมยข้อมูล Credential และ Cloud config
- axois-utils – มัลแวร์ขโมยข้อมูล + Botnet สำหรับการโจมตี DDoS แบบแฝงตัวถาวร ("phantom bot")
- color-style-utils – มัลแวร์ขโมยข้อมูลพื้นฐาน ที่มุ่งเป้าไปยัง Crypto wallets และข้อมูล IP
ตามรายงานของนักวิจัย แพ็กเกจ chalk-tempalte มีตัว Clone ของมัลแวร์ Shai-Hulud ซึ่งเชื่อว่าเป็นผลงานของกลุ่มแฮ็กเกอร์ TeamPCP ที่อยู่เบื้องหลังการโจมตีแบบ Software supply-chain attack ของ Mini Shai-Hulud เมื่อไม่นานมานี้
มัลแวร์ดังกล่าวปรากฏขึ้นบน GitHub เมื่อสัปดาห์ที่แล้ว พร้อมกับข้อความที่อ้างว่ามาจากกลุ่ม TeamPCP โดยระบุว่า จะเริ่มโจมตีอีกครั้ง
แพ็กเกจ chalk-tempalte ดูเหมือนจะเป็นกรณีแรกที่มีการบันทึกไว้ว่ามีการนำตัว Clone ของ Shai-Hulud มาเผยแพร่บน npm แม้ว่าทาง OXsecurity จะตั้งข้อสังเกตว่ามันไม่ได้เป็นรูปแบบที่ซับซ้อนอะไรมากนัก แต่เป็นเพียงการคัดลอก Source code ที่หลุดออกมาแบบดื้อ ๆ โดยไม่มีการป้องกันใด ๆ เลย
OXsecurity ระบุว่า "หลักฐานสำคัญอย่างหนึ่งที่บ่งชี้ว่านี่เป็นฝีมือของผู้ไม่หวังดีคนละกลุ่มกับ TeamPCP ก็คือ โค้ดของมัลแวร์ Shai-Hulud ตัวนี้แทบจะคัดลอกมาจาก Source code ที่หลุดออกมาแบบเป๊ะ ๆ โดยไม่ได้ใช้เทคนิค Obfuscation เลย ซึ่งทำให้เวอร์ชันสุดท้ายที่ออกมามีหน้าตาแตกต่างไปจากตัวต้นฉบับ"
มัลแวร์ตัวนี้จะทำการขโมยข้อมูล Credentials, ข้อมูล Secrets, ข้อมูล Crypto wallet และข้อมูลบัญชีต่าง ๆ จากนั้นจะทำการลักลอบส่งข้อมูลเหล่านี้ไปยังเซิร์ฟเวอร์ C2 ที่ปลายทาง 87e0bbc636999b[.]lhr[.]life
โค้ดดังกล่าวยังคงมีฟังก์ชันการเผยแพร่ข้อมูลบน GitHub ดังนั้นมันจึงอัปโหลดข้อมูล Credentials ที่ขโมยมาไปยัง repositories สาธารณะที่ถูกสร้างขึ้นโดยอัตโนมัติ
ในบรรดาแพ็กเกจอีก 3 รายการที่เหลือ axois-utils มีความโดดเด่นมากที่สุดเนื่องจากมีความสามารถในการโจมตีแบบ DDoS นอกเหนือไปจากฟังก์ชันการขโมยข้อมูลที่มีอยู่เหมือนกันในทั้ง 4 แพ็กเกจ
แพ็กเกจนี้รองรับการโจมตีทั้งแบบ HTTP, TCP และ UDP floods รวมถึงการโจมตีแบบ TCP reset ในขณะที่นักวิจัยยังพบการอ้างอิงภายในโค้ดที่กล่าวถึง “phantom bot” อีกด้วย
แคมเปญมัลแวร์ Shai-Hulud มีการปรับปรุงมาหลายเวอร์ชันนับตั้งแต่เดือนกันยายนปี 2025 โดยมุ่งเป้าขโมยข้อมูลของนักพัฒนาผ่านการแทรกมัลแวร์เข้าไปในโปรเจกต์ทั่วไปที่ถูกต้อง หลังจากที่ขโมยข้อมูล Credentials ของบัญชีที่มีสิทธิ์ในการเผยแพร่ได้แล้ว ข้อมูลที่ลักลอบส่งออกไปก็จะถูกนำไปเปิดเผยบน GitHub repositories สาธารณะ ซึ่งแคมเปญเหล่านี้เชื่อว่าเป็นผลงานของกลุ่มแฮ็กเกอร์ TeamPCP
ในรายงานก่อนหน้านี้ OXsecurity ระบุว่า กลุ่มผู้ไม่หวังดีได้ทำการคัดลอก Source code ของมัลแวร์อย่างรวดเร็ว และเริ่มทำการดัดแปลงเพื่อขยายขีดความสามารถของมันให้มากยิ่งขึ้น
นักวิจัยแนะนำให้นักพัฒนาที่ดาวน์โหลดแพ็กเกจ npm ที่ติดมัลแวร์ไป ให้ทำการลบแพ็กเกจเหล่านั้นทิ้งทันที และทำการเปลี่ยนข้อมูล Credentials รวมถึง API keys บนระบบที่ได้รับผลกระทบใหม่ทั้งหมด
OXsecurity ตั้งข้อสังเกตทิ้งท้ายว่าแพ็กเกจทั้ง 4 รายการนี้มียอดดาวน์โหลดรวมกันถึง 2,678 ครั้ง
ที่มา : Bleepingcomputer
You must be logged in to post a comment.