npm แจ้งเตือนว่าแพ็กเกจ bb-builder มีโค้ดมุ่งร้ายที่มุ่งเป้าเหยื่อที่รันวินโดวส์ โดยพยายามอัพโหลดข้อมูลกลับไปยังเซิร์ฟเวอร์ของคนร้าย
ประกาศแจ้งว่าคอมพิวเตอร์ที่ติดตั้งแพ็กเกจนี้แล้วควรถือว่าถูกแฮกไปแล้ว และยกเลิกค่าความลับและกุญแจต่างๆ ที่อยู่บนเครื่องโดยเร็ว แม้แต่การลบแพ็กเกจไปแล้วก็ไม่รับประกันว่าคนร้ายติดตั้งโค้ดมุ่งร้ายอื่นลงบนเครื่องไปแล้วหรือไม่ โดยตอนนี้ bb-builder มีสถานะเป็น security holding ที่ทีมงาน npm ถือไว้เองไม่ให้ใครมาสร้างแพ็กเกจชื่อนี้
ทาง Reversing Labs ผู้รายงานแพ็กเกจนี้ ตรวจสอบฐานข้อมูล npm เพื่อหาไฟล์ประเภทต่างๆ และพบว่ามีแพ็กเกจจำนวนหนึ่งที่เป็นไฟล์ไบนารีสำหรับวินโดวส์ และเมื่อตรวจสอบกลับพบว่ามีโปรแกรม WebBrowserPassView สำหรับการดึงข้อมูลล็อกอินออกมาจากเบราว์เซอร์อยู่ในแพ็กเกจ bb-builder ตั้งแต่เดือนเมษายนปีที่แล้ว
การโจมตีเหยื่อด้วยการใส่โค้ดไว้ในแพ็กเกจ npm มีมาเป็นเวลานาน โดยช่วงแรกเป็นการสร้างแพ็กเกจชื่อคล้าย หรือขอเข้าไปเป็นผู้ดูแลโครงการแทนเจ้าของเดิม
ที่มา - npm, Reversing Labs
![]()
on
ถ้า WebBrowserPassView
hisoft Fri, 23/08/2019 - 19:30
ถ้า WebBrowserPassView มีความสามารถแค่อ่านรหัสบนเบราว์เซอร์ ตัวมันทำงานโดยไม่ผ่าน UAC ได้ไหมครับ?
เข้าใจว่าความเสี่ยงสูงนะ แต่ถ้าลดระดับความเสียหายได้อีกสักนิดก็ยังดี
ว่าแต่เดิมมันเป็นแพ็คเกจสำหรับทำะไรครับเนี่ย
ใน reddit
adente Fri, 23/08/2019 - 22:52
In reply to ถ้า WebBrowserPassView by hisoft
ใน reddit บอกว่าเป็นส่วนหนึ่งของ plugin wordpress ครับ
น่าจะใช้เวลาลืมรหัสมั้งครับ
i3i4i5 Sat, 24/08/2019 - 14:26
In reply to ถ้า WebBrowserPassView by hisoft
น่าจะใช้เวลาลืมรหัสมั้งครับ
เข้าใจว่าเป็นแพคเกจที่ติดมากั
amfeelgood Fri, 23/08/2019 - 20:02
เข้าใจว่าเป็นแพคเกจที่ติดมากับ nodejs ถูกหรือเปล่าครับ
ไม่ใช่ครับ
hisoft Fri, 23/08/2019 - 21:34
In reply to เข้าใจว่าเป็นแพคเกจที่ติดมากั by amfeelgood
ไม่ใช่ครับ เป็นแพ็กเกจต่างหากที่ต้องสั่งเพื่อดาวน์โหลดและติดตั้งเองครับ
ควรถูกว่าถูกแฮกไปแล้ว
whitebigbird Fri, 23/08/2019 - 20:05
"ถือ" ว่าถูก