สำหรับในหมู่นักพัฒนาซอฟต์แวร์แล้ว การดาวน์โหลดเครื่องมือต่าง ๆ ที่ถูกฝากไว้บนคลังข้อมูลดิจิทัล หรือ Repo (Repositories) นั้นเรียกได้ว่าเป็นที่นิยมจนแทบจะกลายเป็นกิจวัตรในวงการนี้ และนี่เองก็เลยได้กลายมาเป็นเป้าของแฮกเกอร์ในการฝังมัลแวร์ตามแพ็คเกจต่าง ๆ เช่นในข่าวนี้
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer และมัลแวร์ประเภทแปลงเครื่องของเหยื่อให้เป็นหนึ่งในเครือข่ายการโจมตีระบบที่ใหญ่กว่า หรือ Botnet แฝงตัวอยู่ในแพ็คเกจแบบ NPM มากถึง 4 ตัว โดยทั้ง 4 แพ็คเกจนั้นมีรายชื่อดังนี้
- chalk-tempalte (มีผู้ดาวน์โหลด 825 ราย)
- @deadcode09284814/axios-util (มีผู้ดาวน์โหลด 284 ราย)
- axois-utils (มีผู้ดาวน์โหลด 963 ราย)
- color-style-utils (มีผู้ดาวน์โหลด 934 ราย)
ซึ่งทางทีมวิจัยจาก OX Security บริษัทผู้เชี่ยวชาญด้านการจัดการความปลอดภัยไซเบอร์ กล่าวว่า ทั้ง 4 ตัวนั้นมีมัลแวร์ซ่อนอยู่ต่างกัน นั่นคือ
ภาพจาก : https://thehackernews.com/2026/05/four-malicious-npm-packages-deliver.html
- Axois-utils มีมัลแวร์แบบ Botnet ที่ถูกเขียนขึ้นด้วยภาษา Golang ชื่อ Phantom Bot โดยมัลแวร์ตัวนี้มีความสามารถในการใช้เครื่องชองเหยื่อเป็นหนึ่งในเครือข่ายโจมตีระบบที่ใหญ่กว่าให้ล่มด้วยวิธีการ DDoS (Distribute Denial-of-Service) ด้วยวิธีการระดมยิง (Flood) เว็บไซต์เป้าหมายผ่านโปรโตคอล HTTP, TCP, และ UDP นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการคงทนอยู่บนระบบของเหยื่อ (Persistence) ด้วยการวางไฟล์มัลแวร์ (Payload) ไว้ในโฟลเดอร์ Windows Startup
- chalk-tempalte มีการฝังมัลแวร์ Infostealer ซึ่งเป็นมัลแวร์ตัวโคลน (Clone) มาจากมัลแวร์ Shai-Hulud Worm มัลแวร์แบบ Infostealer ที่สามารถแพร่กระจายตัวเองไปยังแพ็คเกจซอฟต์แวร์ตัวอื่น ๆ ของนักพัฒนาซอฟต์แวร์ที่เครื่องถูกมัลแวร์ฝังตัว ด้วยการยึดบัญชีของผู้พัฒนา (Developer Account) แล้วฝังตัวเองลงไปในแพ็คเกจทุกตัว ซึ่งเป็นการโจมตีแบบการโจมตีห่วงโซ่อุปทาน หรือ Supply Chain Attack ทำให้มัลแวร์ตัวนี้ถูกเรียกอีกอย่างว่าเป็น Self-Propagating Software Supply Chain Malware ในส่วนของความสามารถในการขโมยข้อมูลนั้น ข้อมูลทั้งหมดจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุม C2 (Command and Control) ที่ตั้งอยู่ที่ 87e0bbc636999b.lhr[.]life
- “@deadcode09284814/axios-util” และ “color-style-utils” จะเป็นมัลแวร์แบบ Infostealer ที่มีฟังก์ชันการขโมยข้อมูลเหมือนกับตัวอื่น ๆ ทั่วไป เช่น ความสามารถในการขโมยรหัสผ่านสำหรับการเข้าใช้งานระบบคลาวด์, กุญแจ SSH, ตัวแปรของสภาพแวดล้อม (Environment Variables), ข้อมูลของระบบของเหยื่อ, หมายเลขไอพี, และข้อมูลเกี่ยวกับกระเป๋าเงินคริปโตเคอร์เรนซี (Crypto Wallet) แล้วส่งไปยังเซิร์ฟเวอร์ C2 ที่ตั้งอยู่บน “80.200.28[.]28:2222” และ “edcf8b03c84634.lhr[.]life” ตามลำดับ
ทีมวิจัยแนะนำว่า ถ้าผู้อ่านรายใดเผลอทำการดาวน์โหลดแพ็คเกจเหล่านี้และทำการติดตั้งไปแล้ว ให้ทำการตรวจสอบหาการตั้งค่า (Configuration) บน IDEs และ Coding Agents เช่น Claude Code แล้วลบการตั้งค่านั้นทิ้ง, เปลี่ยนรหัส Secrets, และตรวจสอบ Repo บน Github ที่ผู้อ่านใช้งานอยู่เพื่อหาว่ามีค่าสตริงของมัลแวร์ว่า “A Mini Sha1-Hulud has Appeared” หรือไม่ แล้วจัดการบล็อกโดเมนที่น่าสงสัยว่าเกี่ยวข้องกับมัลแวร์ในทันที