นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแพ็กเกจ npm อันตรายตัวใหม่ที่แอบอ้างเป็นไลบรารีชื่อดังอย่าง “nodemailer” ซึ่งถูกใช้กันอย่างแพร่หลายสำหรับส่งอีเมลในแอปพลิเคชัน Node.js
แพ็กเกจปลอมตัวนี้มีชื่อว่า “nodejs-smtp” ซึ่งดูคล้ายกับของจริงมาก ไม่เพียงแต่สามารถส่งอีเมลได้เหมือน nodemailer แต่ยังแฝงโค้ดอันตรายไว้เพื่อเจาะเข้ากระเป๋าคริปโตบนเดสก์ท็อป เช่น Atomic Wallet โดยเฉพาะในระบบ Windows
เมื่อถูกนำเข้าไปใช้งาน แพ็กเกจนี้จะใช้เครื่องมือจาก Electron เพื่อแทรกซึมเข้าไปในกระเป๋าเงินดิจิทัล มันจะแกะไฟล์แอป เปลี่ยนไฟล์ของระบบด้วยโค้ดอันตราย แล้วบีบอัดกลับเข้าไปใหม่ จากนั้นลบหลักฐานการกระทำทั้งหมดออก
เมื่อโค้ดอันตรายทำงานอยู่ภายในกระเป๋าเงิน มันจะแอบเปลี่ยนที่อยู่ปลายทางของการทำธุรกรรมเป็นที่อยู่กระเป๋าของแฮกเกอร์ ทำให้เหรียญคริปโตต่าง ๆ ถูกขโมยไป เช่น Bitcoin (BTC), Ethereum (ETH), Tether (USDT), TRX, XRP และ Solana (SOL)
ทีมวิจัยจาก Socket ที่พบช่องโหว่นี้ ระบุว่า แม้แพ็กเกจจะสามารถส่งอีเมลได้จริง แต่ฟังก์ชันนั้นเป็นเพียงหน้าฉากเพื่อปิดบังการทำงานที่แท้จริง นักพัฒนาที่ทดสอบการส่งอีเมลจะไม่รู้เลยว่ามีสิ่งผิดปกติ
แพ็กเกจปลอมนี้ถูกเผยแพร่โดยผู้ใช้ที่ใช้ชื่อว่า “nikotimon” โดยใช้ที่อยู่อีเมล darkhorse.tech322@gmail[.]com แม้ว่าตอนนี้แฮกเกอร์ยังไม่ได้ขโมยเงินไปมากนัก แต่เครื่องมือที่ใช้สามารถนำไปใช้ซ้ำ และขยายการโจมตีได้ในอนาคต
Socket ได้แจ้งทีมรักษาความปลอดภัยของ npm ให้ลบแพ็กเกจและระงับบัญชีผู้ใช้ดังกล่าว ซึ่งตอนนี้ดำเนินการเรียบร้อยแล้ว
ก่อนที่จะถูกลบ nodejs-smtp ถูกดาวน์โหลดไปเพียง 342 ครั้ง เทียบกับ nodemailer ที่มีผู้ใช้งานมากถึง 3.9 ล้านครั้งต่อสัปดาห์ อย่างไรก็ตาม ด้วยชื่อและรูปลักษณ์ที่คล้ายของจริง ทำให้นักพัฒนาหลายคนหลงเชื่อได้ง่าย โดยเฉพาะเมื่อใช้เครื่องมือช่วยเขียนโค้ดด้วย AI ที่อาจแนะนำชื่อแพ็กเกจผิด ๆ ได้
เหตุผลที่นักพัฒนาเผลอติดตั้ง nodejs-smtp มีหลายอย่าง เช่น:
– ชื่อคล้ายกับ nodemailer
– README เหมือนของจริง
– ใช้งานได้เหมือนกันในช่วงแรก
นักวิจัยเน้นย้ำว่า เหตุการณ์นี้แสดงให้เห็นว่า การนำเข้าแพ็กเกจเพียงตัวเดียวก็สามารถเปลี่ยนแปลงแอปอื่น ๆ บนคอมพิวเตอร์ของนักพัฒนาได้ โดยเฉพาะเมื่อใช้ Electron ที่สามารถเข้าถึงไฟล์ภายในได้อย่างลึกซึ้ง แพ็กเกจที่ดูเหมือนไม่มีพิษภัย กลับกลายเป็นเครื่องมือขโมยคริปโต
คาดว่าการโจมตีในลักษณะนี้จะเพิ่มขึ้น และไม่จำกัดแค่ Ethereum หรือ Solana เท่านั้น แต่ยังรวมถึง TRON, TON และบล็อกเชนอื่น ๆ ด้วย
ทาง Socket แนะนำให้นักพัฒนาใช้เครื่องมือรักษาความปลอดภัยที่สามารถตรวจสอบ pull request, บล็อกการติดตั้งแพ็กเกจที่น่าสงสัย และแจ้งเตือนเมื่อพบแพ็กเกจเลียนแบบ เพื่อป้องกันเหตุการณ์แบบนี้ในอนาคต
