มัลแวร์ Shai-Hulud ที่หลุดออกมาเมื่อสัปดาห์ที่แล้ว กำลังถูกนำมาใช้ในการโจมตี Node Package Manager (npm) index ครั้งใหม่ โดยพบแพ็กเกจที่ติดมัลแวร์ปรากฏขึ้นเมื่อช่วงสุดสัปดาห์ที่ผ่านมา (more…)

การโจมตีแบบ Supply Chain Attack รูปแบบใหม่ มุ่งเป้าไปที่ Ecosystem ของ npm เพื่อขโมย credentials ของนักพัฒนา และพยายามแพร่กระจายแพ็กเกจผ่านบัญชีที่ถูก Compromised (more…)

Hacker ได้แฮ็กบัญชี npm ของ Axios package ซึ่งเป็น JavaScript HTTP client ที่มียอดดาวน์โหลดมากกว่า 100 ล้านครั้งต่อสัปดาห์ เพื่อส่ง Remote Access Trojans (RAT) ไปยังระบบ Linux, Windows และ macOS

(more…)

แพ็กเกจอันตรายใน Registry ของ Node Package Manager (NPM) โดยแอบอ้างว่าเป็นไลบรารี WhatsApp Web API ของจริง เพื่อขโมยข้อความของ WhatsApp, รวบรวมรายชื่อผู้ติดต่อ และเข้าถึงบัญชีของผู้ใช้งาน

แพ็กเกจอันตรายนี้เป็นการ Fork (แยกส่วนมาพัฒนาต่อ) จากโปรเจกต์ยอดนิยมที่ชื่อว่า WhiskeySockets Baileys โดยตัวแพ็กเกจยังคงฟังก์ชันการทำงานที่ใช้งานได้จริงเอาไว้เพื่อให้แนบเนียน มันถูกเผยแพร่บน npm ภายใต้ชื่อ lotusbail มาเป็นเวลาอย่างน้อย 6 เดือนแล้ว และมียอดดาวน์โหลดสะสมไปแล้วกว่า 56,000 ครั้ง (more…)

ตรวจพบแพ็คเกจ 7 รายการที่ถูกเผยแพร่บน Node Package Manager (npm) registry ที่แอบใช้บริการคลาวด์ที่ชื่อ Adspect เพื่อคัดแยกคนเข้าชม โดยจะแยกระหว่างกลุ่มนักวิจัยออกจากเหยื่อที่เป็นเป้าหมาย แล้วนำเฉพาะเหยื่อไปยังเว็บไซต์ที่เป็นอันตราย

(more…)

มีรายงานการค้นพบแพ็คเกจอันตราย 10 รายการบน npm registry ที่เลียนแบบ software projects ที่ถูกต้อง โดยแพ็คเกจเหล่านี้จะดาวน์โหลด component สำหรับขโมยข้อมูล ที่จะรวบรวมข้อมูลสำคัญจากระบบ Windows, Linux และ macOS

แพ็คเกจเหล่านี้ถูกอัปโหลดไปยัง npm เมื่อวันที่ 4 กรกฎาคม และไม่ถูกตรวจพบเป็นเวลานาน เนื่องจากการเข้ารหัสหลายชั้น ซึ่งช่วยให้รอดพ้นจากกลไกการวิเคราะห์โค้ดแบบทั่วไป

ตามรายงานของนักวิจัยจากบริษัทความปลอดภัยทางไซเบอร์ Socket ระบุว่า แพ็คเกจทั้ง 10 นี้มียอดดาวน์โหลดเกือบ 10,000 ครั้ง และได้ขโมยข้อมูล credentials จาก system keyrings, เบราว์เซอร์ และ authentication services

แพ็คเกจเหล่านี้ยังคงดาวน์โหลดได้ แม้ว่า Socket จะรายงานไปยัง npm แล้วก็ตาม:

typescriptjs
deezcord.

การโจมตีแบบ supply chain attack ครั้งนี้ เกิดขึ้นจากการที่แฮ็กเกอร์ใช้วิธีการฟิชชิ่งเพื่อเข้าถึงบัญชีของผู้ดูแลแพ็กเกจ ก่อนจะฝังมัลแวร์ลงในแพ็กเกจ NPM ซึ่งมียอดดาวน์โหลดรวมสูงถึง 2.6 พันล้านครั้งต่อสัปดาห์

Josh Junon (qix) ผู้ดูแลแพ็กเกจที่ตกเป็นเป้าหมายในการโจมตีแบบ supply chain attack ครั้งนี้ ได้ออกมายืนยันเมื่อวันที่ 8 กันยายน 2025 ว่า บัญชีของเขาถูกเข้าถึง โดยเปิดเผยว่า แฮ็กเกอร์ส่งอีเมลฟิชชิงมาจากที่อยู่อีเมล support [at] npmjs [dot] help ซึ่งเป็นโดเมนของเว็บไซต์ที่ปลอมเป็น npmjs.

พบแพ็กเกจอันตรายสองรายการใน npm ซึ่งเป็น JavaScript package index โดยแพ็กเกจทั้งสองนี้ถูกออกแบบมาให้ดูเหมือนเครื่องมือยูทิลิตี้ที่มีประโยชน์ แต่ที่จริงแล้วเป็นมัลแวร์สำหรับลบข้อมูล ที่สามารถลบไดเรกทอรีแอปพลิเคชันได้ทั้งหมด

(more…)

มีการค้นพบแพ็กเกจจำนวน 60 รายการใน NPM index ที่พยายามรวบรวมข้อมูล sensitive ของ host และ network และส่งข้อมูลไปยัง Discord webhook ที่ควบคุมโดยผู้ไม่หวังดี (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ พบแพ็กเกจอันตราย 3 รายการใน npm registry ซึ่งปลอมตัวเป็นไลบรารี Telegram bot แต่แฝง SSH backdoors และความสามารถในการทำ data exfiltration (more…)