ในวันที่ 25 สิงหาคม 2020 ที่ผ่านมา ทีมผู้ดูแลโปรเจ็กต์ NPM ได้ทำการลบแพ็คเกจที่เป็นอันตรายและมีชื่อว่า "fallguys" โดยแพ็คเกจดังกล่าวเป็นแพ็คเกจที่ออกแบบมาเพื่อขโมยโทเค็น Discord และข้อมูลเบราว์เซอร์จาก Google Chrome, Brave Browser, Opera และ Yandex Browser

รายละเอียดการค้นพบและรายงานโดยบริษัทรักษาความปลอดภัยทางด้านโอเพ่นซอร์ส Sonatype ได้ทำการตรวจพบแพ็คเกจ NPM ที่เป็นอันตราย โดยแพ็คเกจที่ทำการตรวจพบนั้นมีชื่อเรียกว่า 'discord.

นักวิจัยพบจากบริษัท Sonatype ได้รายงานถึงการตรวจพบแพ็คเกจ npm ที่เป็นอันตรายซึ่งภายในแพ็คเกจจะมีโค้ดที่ทำการรวบรวมรายละเอียดผู้ใช้และทำการอัปโหลดข้อมูลไปยัง GitHub ของแฮกเกอร์

ตามรายงานจาก Sonatype พบว่าแพ็คเกจทั้งสี่คือ Electorn, lodashs, loadyaml และ loadyml ทั้ง 4 แพ็คเกจได้รับการพัฒนาจากผู้ใช้คนเดียวกันที่ชื่อ simplelive12 และถูกอัปโหลดลงบนพอร์ทัล npm ในเดือนสิงหาคมแต่ปัจจุบันถูกลบไปแล้วโดยทีมรักษาความปลอดภัยของ npm จากการตรวจสอบโค้ดของแพ็คเกจทั้งสี่พบว่า ผู้โจมตีได้มีการใช้เทคนิค typosquatting ซึ่งเป็นเทคนิคที่อาศัยการที่ผู้ใช้ที่ทำการสะกดชื่อของแพ็กเกจผิด เพื่อให้ทำให้ผู้ใช้ได้รับการติดตั้งแพ็คเกจที่มีชื่อคล้ายกันและภายในจะแพ็คเกจจะมีโค้ดที่ทำการรวบรวม IP address, country, city, computer username, home directory path และข้อมูลโมเดลรุ่นของ CPU และการโพสต์ข้อมูลในส่วนของ GitHub repository ของผู้พัฒนา

นักวิจัยจาก Sonatype กล่าวว่าข้อมูลที่ถูกส่งกับไปยัง GitHub นั้นจะถูกลบออกทุกๆ 24 ชั่วโมงซึ่งส่วนใหญ่จะถูกคัดลอกและถูกจัดทำดัชนีภายในฐานข้อมูลอื่น ยังไม่ชัดเจนว่าเป้าหมายของการดำเนินการนี้คืออะไร ทั้งนี้ผู้ใช้ควรทำการตรวจสอบแพ็คเกจ JavaScript npm ภายในเครื่องถ้าพบว่าเคยทำการติดตั้งแพ็คเกจชุดนี้ควรทำการตรวจสอบและลบออกจากเครื่องเพื่อเป็นการป้องกันการใช้ประโยชน์จากข้อมูลที่ถูกเก็บไปใช้ประโยชน์ในการโจมตีในรูปแบบอื่น

ที่มา: zdnet.