
ที่มาภาพ: BleepingComputer
Injective SDK บน npm เผยแพร่แพ็กเกจอันตรายขโมยคีย์ส่วนตัวและเมมโนนิก
⚡ สรุป 30 วิ
ทีมพัฒนา Injective Labs SDK ถูกเจาะควบคุมรีโพซิทอรีบน GitHub แล้วปล่อยแพ็กเกจฝังโค้ดขโมย private key กับ mnemonic ผ่าน npm…
ทีมพัฒนา Injective Labs SDK ถูกเจาะเข้าครอบครองโดยกลุ่มผู้ไม่ประสงค์ดีและอัปโหลดแพ็กเกจที่เป็นอันตรายลงในระบบจัดการแพ็กเกจของ Node — npm ทำให้ส่วนหนึ่งของนักพัฒนาที่ติดตั้ง SDK นั้นเสี่ยงต่อการขโมย private key และ mnemonic seed phrase ของกระเป๋าเงินคริปโตเคอร์เรนซี รายงานจาก BleepingComputer ระบุว่าเหตุการณ์นี้เป็นตัวอย่างใหม่ของการโจมตีแบบซัพพลายเชนที่กำลังเพิ่มความซับซ้อนในระบบซอฟต์แวร์โอเพ่นซอร์ส
Overview
การเจาะระบบเริ่มต้นจากการเข้าถึงโค้ดฐานของ Injective SDK บน GitHub ซึ่งเป็นที่เก็บรหัสเปิดของโครงการโดยตรง หลังจากผู้โจมตีได้ควบคุมรีโพซิทอรีแล้ว พวกเขาได้ทำการปล่อยเวอร์ชันใหม่ของแพ็กจ์บน npm ที่มีโค้ดอันตรายแฝงอยู่ แพ็กจ์นี้ถูกตั้งชื่อให้คล้ายกับ SDK ดั้งเดิมเพื่อหลอกลวงผู้ใช้ที่ต้องการติดตั้งหรืออัปเดตผ่านคำสั่ง `npm install`
ตามข้อมูลจาก BleepingComputer โค้ดภายในแพ็กจ์ทำหน้าที่ค้นหาไฟล์คอนฟิกและตัวแปรสิ่งแวดล้อมที่เก็บ private key หรือ mnemonic seed phrase ของกระเป๋าเงิน จากนั้นส่งข้อมูลเหล่านี้ออกไปยังเซิร์ฟเวอร์ของผู้โจมตีโดยใช้การเชื่อมต่อ HTTP/HTTPS แบบเข้ารหัส
เหตุการณ์นี้ถูกตรวจพบเมื่อหนึ่งในนักพัฒนาตรวจสอบความแตกต่างของแฮชไฟล์ระหว่างรีโพซิทอรีต้นทางกับแพ็กจ์บน npm และรายงานให้ทีมรักษาความปลอดภัยของ npm ดำเนินการลบแพ็กจ์ออกทันที
Attack Vector
ผู้โจมตีเลือกวิธีการเจาะระบบที่ค่อนข้างตรงไปตรงมา คือการทำ repo takeover บน GitHub ซึ่งอาจเกิดจากรหัสผ่านที่ถูกขโมย, การใช้เทคนิคฟิชชิง, หรือช่องโหว่ของการจัดการสิทธิ์บนแพลตฟอร์ม ทั้งนี้การควบคุมรีโพซิทอรีทำให้ผู้โจมตีสามารถปล่อยเวอร์ชันใหม่โดยไม่มีขั้นตอนตรวจสอบจากทีมพัฒนา
เมื่อแพ็กจ์ถูกเผยแพร่บน npm, ระบบของ npm จะทำการ publish โดยอัตโนมัติโดยไม่ต้องผ่านการตรวจสอบโค้ดอย่างละเอียด หากไม่มีการใช้เครื่องมือสแกนความปลอดภัยเพิ่มเติม โค้ดที่แฝงอยู่จะสามารถรันได้ในเครื่องของผู้ใช้งานทุกคนที่ทำการติดตั้ง
โดยทั่วไป แพ็กจ์ประเภทนี้มักจะเรียกฟังก์ชัน Node.js เช่น `fs.readFileSync` เพื่ออ่านไฟล์คอนฟิก และใช้โมดูลเช่น `axios` หรือ `https` ส่งข้อมูลไปยัง URL ที่ผู้โจมตีกำหนดไว้
Impact on Developers
นักพัฒนาที่อ้างอิง Injective SDK ผ่าน npm จึงต้องเผชิญความเสี่ยงจากการสูญเสียทรัพย์สินดิจิทัล เนื่องจาก private key หรือ mnemonic ที่ถูกขโมยสามารถใช้เพื่อโอนเงินออกจากกระเป๋าได้ทันที
แม้ว่าแพ็กจ์จะถูกลบออกอย่างรวดเร็ว แต่ผู้ที่ได้ติดตั้งเวอร์ชันอันตรายไปแล้วอาจยังคงมีข้อมูลที่ถูกส่งออกไปยังเซิร์ฟเวอร์ของผู้โจมตีอยู่ การตรวจสอบว่ามีการละเมิดเกิดขึ้นหรือไม่จึงต้องอาศัยขั้นตอน audit ของบล็อกเชนและการรีวิวประวัติการทำธุรกรรม
ผลกระทบต่อชื่อเสียงของ Injective Labs ก็ไม่ได้ถูกมองข้าม เนื่องจากเหตุการณ์ซัพพลายเชนแบบนี้สามารถลดความไว้วางใจของชุมชนผู้พัฒนาและนักลงทุนได้อย่างมาก
Response and Mitigation
หลังจากการตรวจพบ, ทีมงานของ npm ได้ทำการลบแพ็กจ์ที่เป็นอันตรายออกจากรีจีสทรีและตั้งค่าให้ไม่สามารถเผยแพร่เวอร์ชันใหม่ภายใต้ชื่อเดียวกันได้ทันที นอกจากนี้
- ผู้พัฒนาได้รับคำแนะนำให้ ตรวจสอบ checksum ของแพ็กจ์ก่อนการติดตั้ง
- ควรใช้เครื่องมือสแกนความปลอดภัยเช่น npm audit, Snyk, หรือ OSS Index เพื่อตรวจจับโค้ดที่อาจเป็นอันตราย
- ผู้ใช้งานควร รีเซ็ต private key และ สร้าง mnemonic ใหม่ หากสงสัยว่าอาจถูกขโมย
ทีมงานของ Injective Labs ประกาศว่ากำลังทำการตรวจสอบเหตุการณ์เพื่อระบุช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีเข้าถึงรีโพซิทอรีได้ และจะปรับกระบวนการจัดการสิทธิ์และการตรวจสอบโค้ดให้รัดกุมยิ่งขึ้น
Broader Context of Supply‑Chain Threats
เหตุการณ์นี้เป็นส่วนหนึ่งของแนวโน้มการโจมตีแบบซัพพลายเชนที่เพิ่มความถี่ในช่วงหลายปีที่ผ่านมา ตัวอย่างเช่น การแทรกโค้ดอันตรายใน event-stream หรือ lodash ทำให้ผู้พัฒนาจำนวนมากต้องเผชิญกับปัญหาความปลอดภัยเดียวกัน
ระบบ npm ยังคงเป็นเป้าหมายหลักเนื่องจากมีการแจกจ่ายแพ็กจ์จำนวนมหาศาลและการอัปเดตที่ทำโดยอัตโนมัติ การใช้ **two‑factor authentication (2FA) บนบัญชี GitHub และ npm จึงกลายเป็นมาตรการสำคัญในการป้องกันการแฮ็กรีโพซิทอรี
นักวิเคราะห์ชี้ให้เห็นว่าการพัฒนากระบวนการ software bill of materials (SBOM) และการบังคับใช้ code signing** จะช่วยเพิ่มความโปร่งใสและลดโอกาสที่แพ็กจ์ที่มีมัลแวร์จะถูกเผยแพร่โดยไม่ได้รับการตรวจสอบ
Analysis
จากมุมมองของข่าวสารเทคโนโลยี, การเจาะระบบนี้แสดงให้เห็นว่าความปลอดภัยของ supply chain ยังคงเป็นช่องโหว่สำคัญที่ต้องได้รับความสนใจอย่างต่อเนื่อง แม้ว่าแพลตฟอร์มเช่น GitHub และ npm จะมีมาตรการป้องกันขั้นพื้นฐานอยู่แล้ว แต่การทำ continuous monitoring และการใช้เครื่องมือตรวจจับพฤติกรรมผิดปกติยังเป็นสิ่งจำเป็น
ในกรณีของ Injective SDK, การที่ผู้โจมตีสามารถอัปโหลดเวอร์ชันที่มีโค้ดขโมยข้อมูลได้บ่งชี้ว่าการจัดการสิทธิ์บนรีโพซิทอรีอาจไม่เข้มงวดพอ หรือไม่มีขั้นตอนตรวจสอบหลายระดับก่อนการเผยแพร่บน npm การกระทำเช่นนี้ส่งผลต่อความน่าเชื่อถือของโครงการโอเพ่นซอร์สที่ให้บริการด้านการเงินดิจิทัลโดยตรง
นักพัฒนาควรเพิ่ม defense‑in‑depth ด้วยการตรวจสอบลายเซ็นดิจิทัล, การตั้งค่า read‑only สำหรับส่วนที่ไม่ต้องการแก้ไข, และการทำ code review อย่างละเอียดก่อนการ merge โค้ดใด ๆ เข้าไปในสาขาหลัก
สุดท้าย, ความร่วมมือระหว่างผู้พัฒนา, ผู้ให้บริการแพล็ตฟอร์ม, และหน่วยงานกำกับดูแลเป็นกุญแจสำคัญในการสร้างระบบนิเวศที่ปลอดภัยต่อการโจมตีซัพพลายเชนในอนาคต
Summary
การแทรกโค้ดขโมยกระเป๋าเงินเข้าผ่าน Injective SDK บน npm แสดงให้เห็นถึงความเสี่ยงจากการโจมตีซัพพลายเชนที่อาจทำให้ผู้พัฒนาสูญเสียสินทรัพย์ดิจิทัลได้อย่างรวดเร็ว การตรวจสอบและปรับปรุงกระบวนการจัดการโค้ดรวมถึงการใช้มาตรการป้องกันหลายชั้นจึงเป็นสิ่งจำเป็นเพื่อรักษาความปลอดภัยของระบบนิเวศโอเพ่นซอร์สในยุคคริปโตเคอร์เรนซี.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Injective SDK on npm infected with cryptocurrency wallet stealer
- ผู้เขียน
- Bill Toulas
- แหล่ง
- BleepingComputer
- วันที่เผยแพร่
- 10 กรกฎาคม 2569 เวลา 03:10



