สวัสดีครับเพื่อนๆ และพี่น้องในวงการ IT ทุกคน วันนี้มีเรื่องด่วนที่ต้องรีบมาเตือนภัยกันครับ สำหรับใครที่พัฒนาซอฟต์แวร์ด้วย Node.js หรือใช้ JavaScript Library ยอดฮิตอย่าง Axios ต้องหยุดอ่านตรงนี้ก่อน เพราะเมื่อวันที่ 30-31 มีนาคม 2569 ที่ผ่านมา เกิดเหตุการณ์ Supply Chain Compromise ครั้งใหญ่ที่สะเทือนวงการสุดๆ ครับ
เรื่องของเรื่องคือ Axios ที่มียอดดาวน์โหลดกว่า 80 ล้านครั้งต่อสัปดาห์ ถูกแฮกเกอร์ใช้เป็น “สะพาน” ส่งมัลแวร์เข้าไปในเครื่องของ Developer และระบบ CI/CD ทั่วโลก ผมสรุปประเด็นสำคัญและแนวทางแก้ไขแบบเข้าใจง่ายๆ มาให้แล้วครับ
เกิดอะไรขึ้น? (แบบย่อๆ)
แฮกเกอร์สามารถยึดบัญชี npm ของผู้ดูแลหลัก (Maintainer) ที่ชื่อว่าคุณ jasonsaayman ได้สำเร็จ จากนั้นแฮกเกอร์ไม่ได้ไปแก้โค้ดใน GitHub ของ Axios นะครับ แต่เลือกที่จะ อัปโหลดเวอร์ชันปลอม ขึ้นไปที่ npm registry โดยตรงผ่านเครื่องแฮกเกอร์เอง เพื่อบายพาสระบบตรวจสอบ (CI/CD) และ OIDC Trusted Publisher ทั้งหมดของช่องทางปกติ
เวอร์ชันที่มีปัญหาคือ:
- [email protected] (ล่าสุด)
- [email protected] (Legacy)
Timeline เหตุการณ์ (เวลาไทยโดยประมาณ)
เพื่อให้ทีม Security ของคุณเอาไปเช็ก Logs ได้ง่ายขึ้น ผมสรุปไทม์ไลน์ที่แฮกเกอร์วางแผนมาอย่างดีตามนี้ครับ:
- 30 มี.ค. 12:57 น.: แฮกเกอร์ปล่อย “ตัวล่อ” ชื่อแพ็กเกจ [email protected] (เวอร์ชันสะอาด) เป็นการปล่อยแพ็กเกจที่ภายในบรรจุโค้ดที่ถูกต้องตามไลบรารี crypto-js จริงๆ โดยที่ยังไม่มีการสอดไส้มัลแวร์ใดๆ ในเวอร์ชันนี้ เพื่อพรางตาผู้ตรวจสอบ
- 31 มี.ค. 06:59 น.: อัปเดต [email protected] สอดไส้มัลแวร์ตัวจริงเข้าไป
- 31 มี.ค. 07:21 น.: ปล่อย [email protected] ที่ดึงมัลแวร์ตัวบนมาใช้ ใครรัน npm install ช่วงนี้คือโดนทันที
- 31 มี.ค. 08:00 น.: ปล่อย [email protected] ตามมาติดๆ
- 31 มี.ค. 10:29 น.: npm รีบถอดเวอร์ชันอันตรายออกจากระบบ
ใครเป็นคนทำ?
จากการวิเคราะห์ของหลายหน่วยงานด้านความปลอดภัย เช่น Google Threat Intelligence Group พบว่าพฤติกรรมของมัลแวร์ ทั้งในด้านโครงสร้าง (Infrastructure) และเทคนิคที่ใช้ (TTPs) มีความสอดคล้องกับกลุ่มผู้โจมตีที่มีความเชื่อมโยงกับประเทศเกาหลีเหนือ ซึ่งถูกติดตามภายใต้ชื่อ UNC1069
นอกจากนี้ ยังพบ artifact บางส่วน เช่นชื่อโปรเจกต์ภายใน “macWebT” ที่มีความคล้ายคลึงกับมัลแวร์ตระกูล webT (เช่น RustBucket) ที่เคยถูกใช้โจมตีระบบ macOS ในอดีต ซึ่งช่วยเพิ่มน้ำหนักให้กับสมมติฐานดังกล่าว
อย่างไรก็ตาม ยังไม่สามารถยืนยันได้อย่างชัดเจนว่าเป็นกลุ่มใดโดยตรง
มันน่ากลัวตรงไหน?
ความแสบของมันคือมัลแวร์ตัวนี้เป็น Cross-platform RAT (Remote Access Trojan) ที่ทำงานได้ทั้ง Windows, macOS และ Linux
- ความเร็ว: เมื่อเรารัน npm install มันจะเริ่มทำงานและส่งข้อมูลกลับไปหาแฮกเกอร์ได้ในเวลาไม่กี่นาที
- เป้าหมาย: มันจะกวาดข้อมูลในโฟลเดอร์ .ssh, .aws, .azure และไฟล์ .env เพื่อขโมย API Key และ Cloud Credentials ของเราไปใช้งานต่อ
- การพรางตัว: หลังจากทำงานเสร็จ มันจะลบไฟล์ตัวเองทิ้ง และเปลี่ยนไฟล์ package.json ให้กลับมาดูปกติเหมือนไม่มีอะไรเกิดขึ้น!
วิธีตรวจสอบว่า “โดนหรือยัง?”
- ตรวจสอบว่าด้ใช้ version ที่โดนโจมตีหรือไม่ โดย version ที่โดนโจมตี คือ
-
- axios 1.14.1
- axios 0.30.4
- เช็ก IOCs (ร่องรอยในเครื่อง): ลองดูว่ามีไฟล์เหล่านี้โผล่มาในที่แปลกๆ ไหม:
- macOS: /Library/Caches/com.apple.act.mond
- Windows: %PROGRAMDATA%\wt.exe (อันนี้มันปลอมตัวเป็น Windows Terminal)
- Linux: /tmp/ld.py
- ตรวจสอบ Network log Indicators :
-
- 142.11.206.73
- sfrclak[.]com
- http://sfrclak[.]com:8000
- http://sfrclak[.]com:8000/6202033
- 23.254.167.216
แนวทางป้องกันสำหรับ Developer และบริษัท
ทาง MAYASEVEN แนะนำให้เร่งตรวจสอบ dependency และ isolate ระบบที่อาจได้รับผลกระทบ พร้อมทั้ง rotate credentials และ secrets ทันที จากนั้นควรทำ hardening ระยะยาว เช่น version pinning และ supply chain monitoring
- Version Control: ห้ามใช้ axios 1.14.1 / 0.30.4 ให้ใช้เวอร์ชันที่ปลอดภัย (≤1.14.0, ≤0.30.3) และจำกัดผ่าน internal NPM repo
- Dependency Pinning: ตรึงเวอร์ชันใน package-lock.json ป้องกัน auto upgrade
- Malicious Audit: ตรวจหา plain-crypto-js (4.2.0 / 4.2.1) ใน lockfile
- Pipeline Security: หยุด CI/CD ชั่วคราว ตรวจสอบไม่ให้ใช้ “latest” ก่อน deploy ใหม่
- Incident Response: หากพบ IOC ให้ assume compromise → rebuild + rotate credentials ทั้งหมด
- Network Defense: บล็อก sfrclak[.]com และ 142.11.206.73 พร้อม monitor traffic
- Cache Cleanup: ล้าง cache npm / yarn / pnpm ทุกเครื่อง
- Credential Management: rotate API keys / tokens ทั้งหมดที่เสี่ยง
References:
- https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package
- https://izoologic.com/cybersecurity/axios-npm-supply-chain-incident-reported-malicious-releases-and-response-priorities/
- https://www.elastic.co/security-labs/axios-supply-chain-compromise-detections
- https://www.huntress.com/blog/supply-chain-compromise-axios-npm-package
- https://snyk.io/blog/axios-npm-package-compromised-supply-chain-attack-delivers-cross-platform/
