แพ็กเกจ npm ปลอมเลียนแบบ Telegram Bot API เพื่อฝัง SSH Backdoors บนระบบ Linux

แพ็กเกจ npm ปลอมเลียนแบบ Telegram Bot API เพื่อฝัง SSH Backdoors บนระบบ Linux

มีการค้นพบแพ็คเกจใน npm จำนวนสามตัวที่ถูกสร้างขึ้นมาเพื่อหลอกลวงและมีเจตนาร้าย โดยแอบอ้างว่าเป็นไลบรารีสำหรับ Telegram Bot API ที่ได้รับความนิยม แพ็คเกจทั้งสาม ได้แก่ **node-telegram-utils** (ดาวน์โหลด 132 ครั้ง), **node-telegram-bots-api** (ดาวน์โหลด 82 ครั้ง) และ **node-telegram-util** (ดาวน์โหลด 73 ครั้ง) ได้ถูกออกแบบให้เลียนแบบไลบรารีที่แท้จริงชื่อ **node-telegram-bot-api** ซึ่งมีการดาวน์โหลดมากกว่า 100,000 ครั้งต่อสัปดาห์

เพื่อเพิ่มความน่าเชื่อถือ แฮกเกอร์ใช้เทคนิคที่เรียกว่า **starjacking** โดยการเชื่อมโยงกับ repository บน GitHub ของไลบรารีที่ถูกต้อง ทำให้ผู้พัฒนาที่ไม่ระวังเห็นว่าแพ็คเกจเหล่านี้ดูสมจริงและน่าใช้มากขึ้น อย่างไรก็ตาม เมื่อมีการดาวน์โหลดไปติดตั้งในระบบ Linux ที่แพ็คเกจเหล่านี้มีเจตนาร้ายได้ฝังคีย์ SSH ลงไปในไฟล์ `~/.ssh/authorized_keys` จำนวนสองคีย์ ซึ่งเปิดช่องทางให้ผู้โจมตีสามารถเข้าควบคุมเซิร์ฟเวอร์ได้อย่างต่อเนื่อง

นอกจากนี้ สคริปต์ที่ฝังอยู่ในแพ็คเกจยังมีฟังก์ชันในการรวบรวมข้อมูลสำคัญของระบบ เช่น ชื่อผู้ใช้งานและที่อยู่ IP ภายนอก ผ่านบริการ `ipinfo.io/ip` พร้อมกับส่งสัญญาณไปยังเซิร์ฟเวอร์ภายนอกที่ชื่อว่า “solana.validator.blog” เพื่อยืนยันการติดเชื้อ แม้ว่าผู้ใช้จะลบแพ็คเกจออกไปแล้ว แต่คีย์ SSH ที่ถูกฝังไว้ยังคงอยู่ ทำให้ภัยคุกคามไม่ถูกกำจัดไปอย่างสิ้นเชิง

การค้นพบครั้งนี้เน้นให้เห็นถึงความเสี่ยงจากการโจมตีแบบ supply chain ที่อาจเริ่มต้นจากการติดตั้งแพ็คเกจที่ดูเหมือนว่าจะมาจากแหล่งที่น่าเชื่อถือ แต่กลับซ่อนเจตนาร้ายไว้ ซึ่งสามารถส่งผลกระทบอย่างร้ายแรงต่อความปลอดภัยของระบบและข้อมูลในองค์กรได้ในที่สุด

ที่มา: Thehackernews

ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ

Mobile: 09 5368 5898

Tel: 0 2093 1625

Fax: 0 2093 1675 (Auto)

Email: sales@ampomicrosys.com