พบแพ็กเกจ npm ปลอม ใช้ฟิชชิงขโมยรหัสผ่าน
🚨 พบแพ็กเกจ npm อันตราย 27 รายการ ใช้เป็นโครงสร้างฟิชชิงขโมยรหัสผ่าน
นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยแคมเปญ Spear-Phishing แบบเจาะจงเป้าหมาย ที่ดำเนินการอย่างต่อเนื่องยาวนานกว่า 5 เดือน โดยผู้โจมตีได้อัปโหลด แพ็กเกจอันตรายกว่า 27 รายการบน npm เพื่อใช้เป็นโครงสร้างพื้นฐานในการขโมยข้อมูลล็อกอิน 🔐
แคมเปญนี้ไม่ได้มุ่งโจมตีแบบหว่านแห แต่เลือกเป้าหมายเป็น พนักงานฝ่ายขายและฝ่ายพาณิชย์ ในองค์กรที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) โดยเฉพาะในสหรัฐฯ และประเทศพันธมิตร ตามรายงานจาก Socket ⚠️
🎯 กลยุทธ์ใหม่: ใช้ npm เป็น Hosting สำหรับฟิชชิง
แทนที่จะหลอกให้เหยื่อติดตั้งแพ็กเกจ ผู้โจมตีกลับใช้ npm และ CDN ของแพ็กเกจ เป็นที่โฮสต์ไฟล์ HTML และ JavaScript สำหรับหน้าเว็บฟิชชิงโดยตรง 🌐
📌 หน้าเว็บปลอมถูกออกแบบให้:
-
เลียนแบบระบบแชร์เอกสาร
-
ปลอมหน้า Microsoft Sign-in
-
ใส่อีเมลของเหยื่อลงในฟอร์มอัตโนมัติ เพื่อเพิ่มความน่าเชื่อถือ
ข้อดีของวิธีนี้คือ
✔️ โครงสร้างทนต่อการถูกลบ (Resilient to Takedown)
✔️ เปลี่ยนชื่อแพ็กเกจหรือบัญชีผู้เผยแพร่ใหม่ได้ง่าย
✔️ หลบเลี่ยงการตรวจจับจากระบบอัตโนมัติได้ดี
🧠 เทคนิคหลบการวิเคราะห์ขั้นสูง
แพ็กเกจอันตรายเหล่านี้ยังฝังกลไก Anti-Analysis หลายชั้น เช่น
🤖 ตรวจจับ Bot และ Sandbox
🖱️ ต้องมีการขยับเมาส์หรือสัมผัสหน้าจอก่อนทำงาน
🧩 ใช้ JavaScript ที่ถูก Obfuscate และ Minify อย่างหนัก
🪤 ใช้ Honeypot Field ซ่อนฟอร์มหลอก เพื่อดัก Crawler
นอกจากนี้ โครงสร้างฟิชชิงยังเชื่อมโยงกับ Evilginx (AitM Phishing Framework) ซึ่งสามารถข้าม MFA ได้ในบางกรณี 😱
🌍 เป้าหมายถูกเลือกแบบเจาะจงรายบุคคล
นักวิจัยพบว่าแพ็กเกจเหล่านี้ ฝังอีเมลเป้าหมายกว่า 25 รายชื่อแบบเจาะจง
ซึ่งเป็นพนักงานตำแหน่ง:
-
Account Manager
-
Sales
-
Business Development
ครอบคลุมหลายประเทศ เช่น 🇺🇸 🇬🇧 🇩🇪 🇫🇷 🇨🇦 🇹🇼 🇯🇵 🇹🇷 เป็นต้น
คาดว่าข้อมูลอีเมลอาจถูกรวบรวมจาก
📍 งานแสดงสินค้านานาชาติ
📍 เว็บไซต์อุตสาหกรรม
📍 Open-Source Intelligence (OSINT)
🔥 ไม่ใช่ครั้งแรกที่ npm ถูกใช้เป็นอาวุธ
ก่อนหน้านี้ในเดือนตุลาคม 2025 เคยพบแคมเปญ Beamglea ที่มีการอัปโหลดแพ็กเกจอันตรายถึง 175 รายการ
แม้แคมเปญล่าสุดจะใช้แนวคิดคล้ายกัน แต่มี กลไกการโจมตีที่ซับซ้อนและแนบเนียนกว่า ⚠️
🧩 ความเสี่ยงที่องค์กรต้องตระหนัก
ภัยคุกคามลักษณะนี้สะท้อนให้เห็นว่า
❌ Software Supply Chain ไม่ได้ปลอดภัยเสมอ
❌ npm, PyPI หรือ Repo ต่าง ๆ อาจกลายเป็นช่องทางโจมตี
❌ ฝ่าย Sales และ Non-IT คือเป้าหมายหลัก
เพื่อรับมือ องค์กรควร:
-
ตรวจสอบ Dependency อย่างเข้มงวด
-
เฝ้าระวัง CDN Request ที่ผิดปกติ
-
ใช้ MFA แบบ Phishing-Resistant
-
ตรวจจับพฤติกรรมผิดปกติหลังการ Login
สำหรับองค์กรที่ไม่มีทีม Security เชิงลึก การใช้ IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ จะช่วยตรวจสอบความเสี่ยง ซัพพลายเชนซอฟต์แวร์ และป้องกันการโจมตีลักษณะนี้ได้อย่างเป็นระบบ 🛡️💼
📌 สรุป
npm ไม่ได้เป็นแค่แหล่งโค้ดอีกต่อไป แต่กำลังถูกใช้เป็น โครงสร้างพื้นฐานของการโจมตีไซเบอร์
องค์กรที่ยังขาดการตรวจสอบเชิงรุก อาจตกเป็นเหยื่อได้โดยไม่รู้ตัว ⚠️
👉 ปี 2026 จะเป็นปีที่ Supply Chain Security และ Human-Targeted Phishing รุนแรงขึ้นอย่างชัดเจน
เตรียมระบบให้พร้อมตั้งแต่วันนี้ คือทางรอดที่ดีที่สุด 🚀
ที่มา – https://thehackernews.com/2025/12/27-malicious-npm-packages-used-as.html