สาย Dev และคนทำเว็บต้องฟัง! เมื่อไม่กี่วันที่ผ่านมาเกิดเหตุการณ์ที่เรียกได้ว่าเป็น “ฝันร้าย” ของวงการ Open Source เมื่อ Axios (Library สำหรับเรียก API ที่มียอดดาวน์โหลดกว่า 100 ล้านครั้งต่อสัปดาห์!) ถูกโจมตีแบบ Supply Chain Attack จนคอมพิวเตอร์นับล้านเครื่องอาจตกอยู่ใน
อันตราย 💻💥
เกิดอะไรขึ้น? สรุปสั้นๆ ให้ฟัง:
Account หลุด: ID GitHub และ npm Token ของ Maintainer หลักถูกแฮก (ขนาดมี 2FA ยังไม่รอด!) [04:50]
เวอร์ชันปลอมระบาด: แฮกเกอร์แอบปล่อยเวอร์ชัน 1.14.1 ขึ้นระบบ npm โดยตรง (ไม่ผ่าน GitHub) เพื่อเลี่ยงการตรวจเช็ค Code [06:06]
ของแถมสุดหลอน: ในเวอร์ชันนี้มีการแอบใส่ “ของโจร” ที่ชื่อ plain-crypto-js เข้ามาเป็นส่วนประกอบ (Dependency) [07:40]
ยึดเครื่อง: พอมันติดตั้งเสร็จ มันจะรัน Script สั่งให้เครื่องเรา “ติดต่อกลับหาแม่” (Command Center) เพื่อโหลดมัลแวร์ตัวจริงมายึดเครื่องเรา (RCE – Remote Code Execution) [09:43]
ใครคือผู้อยู่เบื้องหลัง?
ล่าสุด Google ออกมาวิเคราะห์แล้วว่า “ลายเซ็น” การแฮกแบบนี้ (ทั้ง IP และวิธีการ) ชี้เป้าไปที่กลุ่มแฮกเกอร์จาก เกาหลีเหนือ 🇰🇵 คาดว่าหวังผลเพื่อขโมย Crypto Wallet หรือ API Key สำคัญๆ ในเครื่องของนักพัฒนา [13:38]
ความเสียหายน่ากลัวแค่ไหน?
แม้ npm จะลบเวอร์ชันนี้ออกภายใน 3 ชั่วโมงหลังจากตรวจพบ แต่ในช่วงเวลาสั้นๆ นั้น คาดว่ามีคนกด npm install และได้รับเชื้อไปแล้วกว่า 1-2 ล้านเครื่อง! [11:43]
⚠️ สิ่งที่ต้องทำด่วน!
ใครที่เผลอสั่ง npm install หรือ Build โปรเจกต์เมื่อวานนี้ (หรือช่วงที่มีปัญหา) เช็คด่วน!
ตรวจสอบไฟล์ package.json หรือ package-lock.json ว่ามีเวอร์ชัน 1.14.1 หรือมีแพ็กเกจแปลกๆ อย่าง plain-crypto-js หรือเปล่า [19:03]
ถ้าพบว่าโดนเข้าแล้ว แนะนำให้ล้างเครื่องหรือเปลี่ยน Password/API Key ทั้งหมดที่มีในเครื่องนั้นทันที
โลก Open Source สะดวกสบายก็จริง แต่เคสนี้พิสูจน์ให้เห็นแล้วว่า “ความประมาทเพียงนิดเดียว อาจสร้างผลกระทบได้มหาศาล” 🛡️
#9arm #CyberSecurity #Axios #Hack #Developer #OpenSource #เกาหลีเหนือ #SupplyChainAttack
รับชมรายละเอียดเต็มๆ จากพี่อาร์มได้ที่นี่:https://youtu.be/eVtVg5Nl7ag
About the Author
