แพ็กเกจยอดนิยมใน npm ถูกแฮกเกอร์ขอเป็นผู้ดูแล แอบใส่โค้ดขโมยเงินคริปโต

2018-11-27

แพ็กเกจ event-stream ใน npm ย้ายเจ้าของจากผู้ดูแลเดิมมาสู่ผู้ใช้ GitHub ที่ชื่อว่า right9ctrl และออกเวอร์ชั่นใหม่เมื่อไม่กี่วันที่ผ่านมา และพบว่าโค้ดที่เพิ่มเข้ามามีโค้ดมุ่งร้าย น่าจะใช้ขโมยเงินคริปโต

แพ็กเกจ event-stream มีจำนวนดาวน์โหลดเกือบสองล้านครั้งต่อสัปดาห์ โดย dominictarr ผู้ดูแลเดิมระบุว่าเขาไม่ได้ใช้โครงการนี้มานานแล้ว เมื่อ right9ctrl เข้ามาขอดูแลโครงการต่อจึงยกให้ไป

เวอร์ชั่นของแพ็กเกจที่ได้รับผลกระทบคือเวอร์ชั่น 3.3.6 ผู้ใช้ทุกคนควรตรวจสอบว่ามีโค้ดรันอยู่หรือไม่ ตอนนี้โค้ดถูกถอดออกจาก npm เรียบร้อยแล้วแต่อาจจะเหลืออยู่ในแคชของเครื่องผู้ใช้

การโจมตีผ่านระบบจัดการแพ็กเกจด้วยการส่งโค้ดเข้าไปให้ทุกคนอัพเดตเป็นภัยสำคัญในช่วงหลัง ตัว npm เองก็เพิ่งโดนโจมตีแบบคล้ายกันเมื่อปีที่แล้ว แต่เป็นการสร้างแพ็กเกจชื่อคล้าย

ที่มา – GitHub: dominictarr/event-stream

Topics: