npm แจ้งเตือนแพ็กเกจ bb-builder มีโค้ดมุ่งร้าย ใครเคยลงควรถือว่าเครื่องถูกแฮก

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 23 สิงหาคม 2019.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    npm แจ้งเตือนว่าแพ็กเกจ bb-builder มีโค้ดมุ่งร้ายที่มุ่งเป้าเหยื่อที่รันวินโดวส์ โดยพยายามอัพโหลดข้อมูลกลับไปยังเซิร์ฟเวอร์ของคนร้าย

    ประกาศแจ้งว่าคอมพิวเตอร์ที่ติดตั้งแพ็กเกจนี้แล้วควรถูกว่าถูกแฮกไปแล้ว และยกเลิกค่าความลับและกุญแจต่างๆ ที่อยู่บนเครื่องโดยเร็ว แม้แต่การลบแพ็กเกจไปแล้วก็ไม่รับประกันว่าคนร้ายติดตั้งโค้ดมุ่งร้ายอื่นลงบนเครื่องไปแล้วหรือไม่ โดยตอนนี้ bb-builder มีสถานะเป็น security holding ที่ทีมงาน npm ถือไว้เองไม่ให้ใครมาสร้างแพ็กเกจชื่อนี้

    ทาง Reversing Labs ผู้รายงานแพ็กเกจนี้ ตรวจสอบฐานข้อมูล npm เพื่อหาไฟล์ประเภทต่างๆ และพบว่ามีแพ็กเกจจำนวนหนึ่งที่เป็นไฟล์ไบนารีสำหรับวินโดวส์ และเมื่อตรวจสอบกลับพบว่ามีโปรแกรม WebBrowserPassView สำหรับการดึงข้อมูลล็อกอินออกมาจากเบราว์เซอร์อยู่ในแพ็กเกจ bb-builder ตั้งแต่เดือนเมษายนปีที่แล้ว

    การโจมตีเหยื่อด้วยการใส่โค้ดไว้ในแพ็กเกจ npm มีมาเป็นเวลานาน โดยช่วงแรกเป็นการสร้างแพ็กเกจชื่อคล้าย หรือขอเข้าไปเป็นผู้ดูแลโครงการแทนเจ้าของเดิม

    ที่มา - npm, Reversing Labs

    [​IMG]

    Topics: NPMSecurity
     

แบ่งปันหน้านี้