Rogue npm แฝงมัลแวร์ สวมรอย Telegram Bot API เจาะระบบ Linux
เตือนภัย! พบแพ็กเกจ npm ปลอมเลียนแบบ Telegram Bot API เพื่อติดตั้ง SSH Backdoor บนระบบ Linux
ในขณะที่นักพัฒนาแห่ใช้แพ็กเกจโอเพนซอร์สจาก npm เพื่อลดเวลาและต้นทุนการพัฒนา ระบบความปลอดภัยของแพลตฟอร์มกลับถูกท้าทายอีกครั้ง เมื่อมีการค้นพบว่าแพ็กเกจ npm บางรายการถูกสร้างขึ้นโดยมีเป้าหมายเพื่อแฝงมัลแวร์ที่สามารถควบคุมเครื่องของเหยื่อจากระยะไกล
ล่าสุด นักวิจัยด้านความปลอดภัยจาก Checkmarx ได้เปิดเผยการโจมตีรูปแบบใหม่ที่ใช้แพ็กเกจ npm ที่ปลอมตัวเป็นไลบรารีของ Telegram Bot API แต่ภายในซ่อนฟังก์ชันที่แอบติดตั้ง SSH Backdoor ลงบนระบบ Linux โดยเฉพาะ
รูปแบบการโจมตี เมื่อแพ็กเกจที่ดู “ธรรมดา” กลายเป็นอาวุธ
แพ็กเกจที่ตรวจพบมีชื่อใกล้เคียงกับไลบรารียอดนิยมของ Telegram เช่น telegram-bot-api, telegram-bot-client เป็นต้น โดยตั้งใจให้ชื่อใกล้เคียงกับไลบรารีจริง เพื่อหลอกให้นักพัฒนาไม่ทันระวัง และติดตั้งโดยไม่ตรวจสอบโค้ดภายในอย่างละเอียด
เมื่อถูกติดตั้ง แพ็กเกจเหล่านี้จะทำงานคล้ายกับไลบรารีทั่วไป แต่มีการเรียกใช้โค้ดแอบแฝงที่เชื่อมต่อกับเซิร์ฟเวอร์ภายนอกเพื่อติดตั้ง backdoor ในรูปแบบ SSH key ทำให้ผู้ไม่หวังดีสามารถเข้าใช้งานระบบได้ตลอดเวลา โดยไม่ต้องใช้รหัสผ่านหรือกระบวนการยืนยันตัวตนใดๆ
เป้าหมาย เครื่อง Linux ที่รันแอป Node.js
จากการวิเคราะห์ พบว่าแพ็กเกจอันตรายนี้ถูกออกแบบมาเพื่อโจมตีเฉพาะระบบปฏิบัติการ Linux โดยจะค้นหาบัญชีผู้ใช้บนเครื่อง แล้วแทรก public SSH key ลงในไฟล์ ~/.ssh/authorized_keys ของแต่ละบัญชี ทำให้แฮกเกอร์สามารถเข้าสู่ระบบผ่าน SSH ได้โดยอัตโนมัติ
ไม่เพียงเท่านั้น แพ็กเกจยังมีโค้ดที่ใช้ตรวจสอบสภาพแวดล้อมของระบบ เพื่อหลีกเลี่ยง sandbox หรือการวิเคราะห์จากระบบความปลอดภัยอัตโนมัติอีกด้วย
ความเสียหายที่อาจเกิดขึ้น
หากระบบของเหยื่อตกเป็นเป้าหมายและถูกแฮกเกอร์เข้าถึงผ่าน SSH สำเร็จ ผู้ไม่หวังดีจะสามารถ
เข้าถึงไฟล์และข้อมูลสำคัญทั้งหมด
ติดตั้งมัลแวร์เพิ่มเติม เช่น RAT หรือ Cryptominer
ใช้ระบบที่ถูกแฮกเป็นฐานโจมตีระบบอื่นในเครือข่าย
ขโมย credentials และข้อมูลผู้ใช้
ยิ่งแอปพลิเคชันนั้นมีสิทธิ์ root หรือทำงานบน production server ความเสียหายก็จะยิ่งรุนแรง
วิธีการป้องกัน
นักพัฒนาและผู้ดูแลระบบควรปฏิบัติดังนี้
ตรวจสอบแพ็กเกจ npm ก่อนติดตั้ง
ดูชื่อผู้พัฒนา จำนวนดาว เวอร์ชัน และความเคลื่อนไหวของโครงการ
หากมีชื่อใกล้เคียงกับไลบรารียอดนิยม แต่ไม่มีข้อมูลย้อนหลังหรือดาวน้อยผิดปกติ ควรระวังใช้
npm auditและnpm audit signatures
ตรวจสอบแพ็กเกจที่ติดตั้งแล้วว่ามีรายงานด้านความปลอดภัยหรือไม่จำกัดสิทธิ์ของ user ที่รันแอปพลิเคชัน Node.js
เพื่อไม่ให้สามารถเขียน SSH key หรือเปลี่ยนแปลงระบบได้ตั้งค่าไฟร์วอลล์ และระบบตรวจจับพฤติกรรมผิดปกติ (IDS)
เพื่อตรวจสอบความพยายามในการเชื่อมต่อ SSH จาก IP แปลกปลอมตรวจสอบไฟล์
authorized_keysเป็นประจำ
โดยเฉพาะบนเครื่องที่ใช้พัฒนา ทดสอบ หรือรันแอป Node.js
แนวโน้มและบทเรียนจากเหตุการณ์นี้
เหตุการณ์นี้สะท้อนว่าการโจมตีซัพพลายเชนซอฟต์แวร์ (Software Supply Chain Attack) ยังคงเป็นภัยคุกคามสำคัญ และมักอาศัยความประมาทของนักพัฒนาในการติดตั้งไลบรารีที่ดูเหมือนปลอดภัย
แพลตฟอร์มอย่าง npm ที่เปิดกว้างให้ใครก็ได้เผยแพร่แพ็กเกจ จึงเป็นช่องโหว่สำคัญที่ควรได้รับการจัดการอย่างเป็นระบบ ไม่ว่าจะเป็นการใช้ระบบ sign & verify, การรายงานแพ็กเกจต้องสงสัย หรือระบบแจ้งเตือนอัตโนมัติเมื่อชื่อแพ็กเกจใกล้เคียงกันมากผิดปกติ
สรุป ความปลอดภัยต้องเริ่มจากการ “ระวัง” มากกว่า “แก้ไข”
การติดตั้งแพ็กเกจ npm โดยไม่ตรวจสอบให้ดี อาจนำมาซึ่งความเสียหายที่เกินกว่าคาดคิดได้ โดยเฉพาะกับเครื่อง Linux ที่เชื่อมต่ออินเทอร์เน็ตอยู่ตลอดเวลา
คุณเคยเจอแพ็กเกจ npm ที่ดูน่าสงสัยหรือไม่? หรือมีวิธีป้องกันเพิ่มเติมที่คุณใช้อยู่?
ร่วมแสดงความคิดเห็นกับเรา แชร์บทความนี้ให้เพื่อนนักพัฒนาได้รับรู้ และสมัครรับข่าวสารจากเว็บไซต์ของเรา เพื่ออัปเดตทุกภัยคุกคามทางไซเบอร์ก่อนใคร
Loading...
Post ID: 27785 | TTT-WEBSITE | AFRA APACHE
