
ที่มาภาพ: The Hacker News
เจาะลึก 7 แพคเกจ npm ของ Vite ที่ฝัง RAT ผ่านบล็อกเชน C2
⚡ สรุป 30 วิ
การวิจัยของ Checkmarx พบแพคเกจ npm ที่ฝังโค้ดอันตราย 7 ตัว ใช้เทคนิคลอยต่อแบบบล็อกเชน C2 ทำให้ตรวจจับยาก นักพัฒนาที่ใช้ Vite ควรรีวิวและลบแพคเกจเหล่านี้ทันที.
การวิจัยด้านความปลอดภัยไซเบอร์ของบริษัท Checkmarx เผยให้เห็นกลุ่มแพคเกจ npm จำนวนเจ็ดที่ฝังโค้ดอันตรายในระบบเครื่องมือพัฒนาเว็บ Vite ซึ่งเป็นส่วนหนึ่งของแคมเปญการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ใหม่ที่เรียกว่า ViteVenom การใช้เทคนิคควบคุมและสั่งการแบบบล็อกเชนหลายชั้นทำให้ภัยคุกคามนี้ยากต่อการตรวจจับและอาจส่งผลกระทบต่อโครงการพัฒนาต่าง ๆ ที่อาศัย Vite อย่างกว้างขวาง
Overview
Vite ได้รับความนิยมเพิ่มขึ้นอย่างรวดเร็วในช่วงสองปีที่ผ่านมา เนื่องจากประสิทธิภาพในการบันเดิลและการพัฒนาแบบ HMR (Hot Module Replacement) ทำให้หลายองค์กรย้ายมาใช้เป็นเครื่องมือหลักในการสร้างแอปพลิเคชันฝั่งหน้าเว็บ การที่ผู้โจมตีเลือกจุดศูนย์กลางของซัพพลายเชนนี้ แสดงถึงความตั้งใจที่จะทำลายความมั่นคงของโครงสร้างพื้นฐานการพัฒนาแบบเปิด (open‑source) ที่นักพัฒนานับถือเป็นมาตรฐาน
ตามรายงานของ Checkmarx กลุ่มแพคเกจที่มีปัญหานี้ถูกเผยแพร่บน npm registry เป็นระยะเวลาหนึ่งก่อนที่จะได้รับการลบออกโดยผู้ดูแลระบบ แพคเกจเหล่านี้มักจะอ้างว่าเป็นส่วนเสริมหรือไลบรารีเล็ก ๆ ที่ช่วยปรับแต่ง Vite ให้ทำงานได้เร็วขึ้น แต่เมื่อถูกติดตั้งในโปรเจกต์ มันจะดาวน์โหลดโค้ดอันตรายจากเซิร์ฟเวอร์ควบคุมผ่านระบบบล็อกเชน
Threat Details
การวิเคราะห์ของทีมวิจัยพบว่าแต่ละแพคเกจมีโค้ดที่ซ่อนอยู่ภายในไฟล์ JavaScript ที่ทำหน้าที่เป็นตัวรับคำสั่ง (loader) จากเครือข่าย C2 ซึ่งใช้เทคนิค “obfuscation” ทำให้ยากต่อการแปลความหมายโดยตรง โค้ดเหล่านี้มักจะเปิดใช้งาน **Remote Access Trojan (RAT) บนเครื่องของผู้ใช้เพื่อให้ผู้โจมตีสามารถควบคุมระบบได้จากระยะไกล
ลักษณะการทำงานของ RAT นี้รวมถึงการเก็บข้อมูลประจำตัว, การจับภาพหน้าจอ, และการส่งคำสั่งเรียกใช้งานไฟล์หรือสคริปต์เพิ่มเติม ซึ่งทั้งหมดนี้ดำเนินการโดยผ่านโครงสร้างบล็อกเชนที่เป็นส่วนหนึ่งของเครือข่าย ChainVeil ที่เคยถูกตรวจพบในกรณีโจมตีอื่น ๆ ก่อนหน้านี้
Blockchain C2 Architecture
โครงสร้าง C2 ของแคมเปญ ViteVenom ใช้ระบบบล็อกเชนระดับสี่ขั้นตอนที่กระจายอยู่บนเครือข่าย Tron ซึ่งเป็นแพลตฟอร์มบล็อกเชนสาธารณะที่รองรับการทำธุรกรรมแบบเร็วและค่าใช้จ่ายต่ำ
- ขั้นตอนแรก: แพคเกจส่งข้อมูล hash ของคำสั่งไปยัง smart contract บน Tron
- ขั้นตอนที่สอง: ผู้โจมตีอัปเดตสถานะของ transaction เพื่อบ่งชี้ว่า มีคำสั่งใหม่ให้ดึงลงเครื่องเป้าหมาย
- ขั้นตอนที่สาม: ตัวโหลดบนเครื่องผู้ใช้ทำการอ่านข้อมูลจาก blockchain และถอดรหัสโดยใช้คีย์ที่ซ่อนไว้ในโค้ดต้นฉบับ
- ขั้นตอนสุดท้าย: คำสั่งที่ถอดรหัสแล้วจะถูกส่งต่อให้ RAT ทำงานตามที่กำหนด
การใช้บล็อกเชนเป็นช่องทาง C2 ทำให้การติดตามและปิดกั้นการสื่อสารของผู้โจมตียากขึ้น เนื่องจากข้อมูลอยู่บนเครือข่ายกระจายศูนย์และไม่ได้ผ่านเซิร์ฟเวอร์กลางที่สามารถบล็อคได้ง่าย
Impact & Mitigation
นักพัฒนาที่ใช้ Vite และติดตั้ง npm packages ใด ๆ ที่เกี่ยวข้องกับ ViteVenom เสี่ยงต่อการถูกสอดแทรก RAT ซึ่งอาจนำไปสู่การละเมิดข้อมูลสำคัญขององค์กรหรือผู้ใช้งานส่วนบุคคล นอกจากนี้ การที่โค้ดอันตรายทำงานในขั้นตอนการบิลด์ ยังสามารถแพร่กระจายไปยังสภาพแวดล้อมต่อเนื่อง (CI/CD pipeline) ได้อย่างรวดเร็ว
เพื่อรับมือกับภัยคุกคามนี้ ผู้ดูแลระบบ npm ควรตรวจสอบ checksum ของแพคเกจที่ใช้งาน และอัปเดตเป็นเวอร์ชันล่าสุดของ Vite ที่มีการตรวจจับและป้องกันพฤติกรรมที่น่าสงสัย นอกจากนี้ การใช้เครื่องมือสแกนความปลอดภัยเช่น SAST หรือ SBOM (Software Bill of Materials) จะช่วยระบุแพคเกจที่อาจเป็นอันตรายได้ก่อนนำเข้าสู่ระบบผลิต
Community Response
หลังจากการเปิดเผยโดย Checkmarx คณะทำงานของโครงการ Vite ได้ออกประกาศเตือนให้ผู้พัฒนารีวิวและลบแพคเกจที่เกี่ยวข้องทันที รวมถึงเพิ่มขั้นตอนตรวจสอบความสมบูรณ์ของ dependencies ในเอกสารแนวทางการใช้งานใหม่ นอกจากนี้ ชุมชน npm กำลังพิจารณาเพิ่มฟีเจอร์ตรวจจับอัตโนมัติสำหรับโค้ดที่ทำหน้าที่เป็น loader หรือเชื่อมต่อกับ blockchain เพื่อป้องกันเหตุการณ์คล้ายกันในอนาคต
Summary
แคมเปญ ViteVenom แสดงให้เห็นว่าการโจมตีห่วงโซ่อุปทานซอฟต์แวร์สามารถนำเทคโนโลยีบล็อกเชนมาใช้เป็นช่องทาง C2 ที่ซับซ้อนได้ การตรวจสอบและควบคุม dependencies อย่างเข้มงวดจึงเป็นสิ่งจำเป็นสำหรับนักพัฒนาที่ใช้ Vite และเครื่องมือ npm อื่น ๆ.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Seven Malicious Vite npm Packages Use Blockchain C2 to Deliver a RAT
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 18 กรกฎาคม 2569 เวลา 01:54



