เจาะลึก 7 แพคเกจ npm ของ Vite ที่ฝัง RAT ผ่านบล็อกเชน C2

ที่มาภาพ: The Hacker News

Security-อ่าน 6 นาทีThe Hacker News

เจาะลึก 7 แพคเกจ npm ของ Vite ที่ฝัง RAT ผ่านบล็อกเชน C2

⚡ สรุป 30 วิ

การวิจัยของ Checkmarx พบแพคเกจ npm ที่ฝังโค้ดอันตราย 7 ตัว ใช้เทคนิคลอยต่อแบบบล็อกเชน C2 ทำให้ตรวจจับยาก นักพัฒนาที่ใช้ Vite ควรรีวิวและลบแพคเกจเหล่านี้ทันที.

การวิจัยด้านความปลอดภัยไซเบอร์ของบริษัท Checkmarx เผยให้เห็นกลุ่มแพคเกจ npm จำนวนเจ็ดที่ฝังโค้ดอันตรายในระบบเครื่องมือพัฒนาเว็บ Vite ซึ่งเป็นส่วนหนึ่งของแคมเปญการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ใหม่ที่เรียกว่า ViteVenom การใช้เทคนิคควบคุมและสั่งการแบบบล็อกเชนหลายชั้นทำให้ภัยคุกคามนี้ยากต่อการตรวจจับและอาจส่งผลกระทบต่อโครงการพัฒนาต่าง ๆ ที่อาศัย Vite อย่างกว้างขวาง

Overview

Vite ได้รับความนิยมเพิ่มขึ้นอย่างรวดเร็วในช่วงสองปีที่ผ่านมา เนื่องจากประสิทธิภาพในการบันเดิลและการพัฒนาแบบ HMR (Hot Module Replacement) ทำให้หลายองค์กรย้ายมาใช้เป็นเครื่องมือหลักในการสร้างแอปพลิเคชันฝั่งหน้าเว็บ การที่ผู้โจมตีเลือกจุดศูนย์กลางของซัพพลายเชนนี้ แสดงถึงความตั้งใจที่จะทำลายความมั่นคงของโครงสร้างพื้นฐานการพัฒนาแบบเปิด (open‑source) ที่นักพัฒนานับถือเป็นมาตรฐาน

ตามรายงานของ Checkmarx กลุ่มแพคเกจที่มีปัญหานี้ถูกเผยแพร่บน npm registry เป็นระยะเวลาหนึ่งก่อนที่จะได้รับการลบออกโดยผู้ดูแลระบบ แพคเกจเหล่านี้มักจะอ้างว่าเป็นส่วนเสริมหรือไลบรารีเล็ก ๆ ที่ช่วยปรับแต่ง Vite ให้ทำงานได้เร็วขึ้น แต่เมื่อถูกติดตั้งในโปรเจกต์ มันจะดาวน์โหลดโค้ดอันตรายจากเซิร์ฟเวอร์ควบคุมผ่านระบบบล็อกเชน

Threat Details

การวิเคราะห์ของทีมวิจัยพบว่าแต่ละแพคเกจมีโค้ดที่ซ่อนอยู่ภายในไฟล์ JavaScript ที่ทำหน้าที่เป็นตัวรับคำสั่ง (loader) จากเครือข่าย C2 ซึ่งใช้เทคนิค “obfuscation” ทำให้ยากต่อการแปลความหมายโดยตรง โค้ดเหล่านี้มักจะเปิดใช้งาน **Remote Access Trojan (RAT) บนเครื่องของผู้ใช้เพื่อให้ผู้โจมตีสามารถควบคุมระบบได้จากระยะไกล

ลักษณะการทำงานของ RAT นี้รวมถึงการเก็บข้อมูลประจำตัว, การจับภาพหน้าจอ, และการส่งคำสั่งเรียกใช้งานไฟล์หรือสคริปต์เพิ่มเติม ซึ่งทั้งหมดนี้ดำเนินการโดยผ่านโครงสร้างบล็อกเชนที่เป็นส่วนหนึ่งของเครือข่าย ChainVeil ที่เคยถูกตรวจพบในกรณีโจมตีอื่น ๆ ก่อนหน้านี้

Blockchain C2 Architecture

โครงสร้าง C2 ของแคมเปญ ViteVenom ใช้ระบบบล็อกเชนระดับสี่ขั้นตอนที่กระจายอยู่บนเครือข่าย Tron ซึ่งเป็นแพลตฟอร์มบล็อกเชนสาธารณะที่รองรับการทำธุรกรรมแบบเร็วและค่าใช้จ่ายต่ำ

  • ขั้นตอนแรก: แพคเกจส่งข้อมูล hash ของคำสั่งไปยัง smart contract บน Tron
  • ขั้นตอนที่สอง: ผู้โจมตีอัปเดตสถานะของ transaction เพื่อบ่งชี้ว่า มีคำสั่งใหม่ให้ดึงลงเครื่องเป้าหมาย
  • ขั้นตอนที่สาม: ตัวโหลดบนเครื่องผู้ใช้ทำการอ่านข้อมูลจาก blockchain และถอดรหัสโดยใช้คีย์ที่ซ่อนไว้ในโค้ดต้นฉบับ
  • ขั้นตอนสุดท้าย: คำสั่งที่ถอดรหัสแล้วจะถูกส่งต่อให้ RAT ทำงานตามที่กำหนด

การใช้บล็อกเชนเป็นช่องทาง C2 ทำให้การติดตามและปิดกั้นการสื่อสารของผู้โจมตียากขึ้น เนื่องจากข้อมูลอยู่บนเครือข่ายกระจายศูนย์และไม่ได้ผ่านเซิร์ฟเวอร์กลางที่สามารถบล็อคได้ง่าย

Impact & Mitigation

นักพัฒนาที่ใช้ Vite และติดตั้ง npm packages ใด ๆ ที่เกี่ยวข้องกับ ViteVenom เสี่ยงต่อการถูกสอดแทรก RAT ซึ่งอาจนำไปสู่การละเมิดข้อมูลสำคัญขององค์กรหรือผู้ใช้งานส่วนบุคคล นอกจากนี้ การที่โค้ดอันตรายทำงานในขั้นตอนการบิลด์ ยังสามารถแพร่กระจายไปยังสภาพแวดล้อมต่อเนื่อง (CI/CD pipeline) ได้อย่างรวดเร็ว

เพื่อรับมือกับภัยคุกคามนี้ ผู้ดูแลระบบ npm ควรตรวจสอบ checksum ของแพคเกจที่ใช้งาน และอัปเดตเป็นเวอร์ชันล่าสุดของ Vite ที่มีการตรวจจับและป้องกันพฤติกรรมที่น่าสงสัย นอกจากนี้ การใช้เครื่องมือสแกนความปลอดภัยเช่น SAST หรือ SBOM (Software Bill of Materials) จะช่วยระบุแพคเกจที่อาจเป็นอันตรายได้ก่อนนำเข้าสู่ระบบผลิต

Community Response

หลังจากการเปิดเผยโดย Checkmarx คณะทำงานของโครงการ Vite ได้ออกประกาศเตือนให้ผู้พัฒนารีวิวและลบแพคเกจที่เกี่ยวข้องทันที รวมถึงเพิ่มขั้นตอนตรวจสอบความสมบูรณ์ของ dependencies ในเอกสารแนวทางการใช้งานใหม่ นอกจากนี้ ชุมชน npm กำลังพิจารณาเพิ่มฟีเจอร์ตรวจจับอัตโนมัติสำหรับโค้ดที่ทำหน้าที่เป็น loader หรือเชื่อมต่อกับ blockchain เพื่อป้องกันเหตุการณ์คล้ายกันในอนาคต

Summary

แคมเปญ ViteVenom แสดงให้เห็นว่าการโจมตีห่วงโซ่อุปทานซอฟต์แวร์สามารถนำเทคโนโลยีบล็อกเชนมาใช้เป็นช่องทาง C2 ที่ซับซ้อนได้ การตรวจสอบและควบคุม dependencies อย่างเข้มงวดจึงเป็นสิ่งจำเป็นสำหรับนักพัฒนาที่ใช้ Vite และเครื่องมือ npm อื่น ๆ.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Seven Malicious Vite npm Packages Use Blockchain C2 to Deliver a RAT
ผู้เขียน
[email protected] (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
18 กรกฎาคม 2569 เวลา 01:54

Related

บทความที่เกี่ยวข้อง

การโจมตีไซเบอร์ทำให้ระบบโลจิสติกของ Nichirei Group ขัดขวาง ส่งผลต่อ KFC ญี่ปุ่นSecurity
18 กรกฎาคม 2569 เวลา 09:00

การโจมตีไซเบอร์ทำให้ระบบโลจิสติกของ Nichirei Group ขัดขวาง ส่งผลต่อ KFC ญี่ปุ่น

Nichirei Group ยอมรับว่าระบบคอมพิวเตอร์ถูกแฮ็กโดย ransomware ทำให้การจัดส่งอาหารแช่แข็งและโลจิสติกหยุดชะงัก. KFC…

The Register7 นาที
แฮกเกอร์เจาะข้อมูล Tata Electronics หลุดเอกสารลับสเปกฮาร์ดแวร์และขั้นตอนการผลิตของ AppleSecurity
26 มิถุนายน 2569 เวลา 07:30

แฮกเกอร์เจาะข้อมูล Tata Electronics หลุดเอกสารลับสเปกฮาร์ดแวร์และขั้นตอนการผลิตของ Apple

Tata Electronics ถูกแฮกเกอร์เจาะข้อมูลสำคัญกว่า 630 GB รวมถึงเอกสารลับของ Apple ที่เผยรายละเอียดสเปกและขั้นตอนการผลิต…

DroidSans7 นาที
jscrambler 8.14.0 ปล่อย npm มี preinstall hook ขโมยข้อมูลแบบ nativeSecurity
-

jscrambler 8.14.0 ปล่อย npm มี preinstall hook ขโมยข้อมูลแบบ native

เวอร์ชัน 8.14.0 ของ jscrambler ที่เผยบน npm ฝังโค้ดอันตรายใน preinstall hook ซึ่งดาวน์โหลดและรันโปรแกรมขโมยข้อมูลแบบ native บน Windows, macOS และ Linux…

The Hacker News8 นาที
รัฐบาลออสเตรเลียสั่งทิ้งเราเตอร์ 4,000 เครื่อง แม้ผู้เชี่ยวชาญเตือนความเสี่ยงด้านความปลอดภัยSecurity
18 กรกฎาคม 2569 เวลา 07:30

รัฐบาลออสเตรเลียสั่งทิ้งเราเตอร์ 4,000 เครื่อง แม้ผู้เชี่ยวชาญเตือนความเสี่ยงด้านความปลอดภัย

ACCC บล็อกเราเตอร์ SamKnows SK‑WB8 จำนวนประมาณ 4,000 เครื่องจากโครงการ MBA โดยอ้างว่าเครื่องหมดอายุ แม้ว่ายังทำงานได้…

TechRadar6 นาที
คัดลอกลิงก์แล้ว!